EnCase-Treiber wird zur Waffe gegen IT-Sicherheit

Ein alter, eigentlich legitimer Treiber eines Forensik-Tools ermöglicht es Hackern, moderne Sicherheitssysteme komplett auszuhebeln. Diese neue Angriffswelle, die diese Woche aufgedeckt wurde, nutzt einen über zehn Jahre alten Kernel-Treiber, um Endpoint Detection and Response (EDR)-Systeme wirkungslos zu machen.

Forscher von Huntress Labs haben am Donnerstag einen besorgniserregenden neuen Angriffsweg dokumentiert. Dabei setzen Kriminelle auf die sogenannte „Bring Your Own Vulnerable Driver“ (BYOVD)-Technik. Sie missbrauchen einen Kernel-Treiber, der ursprünglich zum Forensik-Softwarepaket EnCase von Guidance Software gehörte. Obwohl das digitale Zertifikat dieses Treibers seit über einem Jahrzehnt abgelaufen und widerrufen ist, laden aktuelle Windows-Versionen ihn weiterhin – ein fatales Sicherheitsleck.

Für Ransomware-Gruppen ist dies ein gefundenes Fressen. Sie nutzen den veralteten, aber legitimen Treiber, um Code mit den höchsten Privilegien im Kernel-Modus (Ring 0) auszuführen. Dadurch können sie selbst geschützte Sicherheitsprozesse beenden, die normalerweise vor Manipulationen sicher sind.

So funktioniert der EnCase-Angriff

Die Analyse der Huntress-Expertinnen Anna Pham und Dray Agha zeigt den typischen Ablauf: Zuerst dringen die Angreifer über kompromittierte SonicWall SSLVPN-Zugänge in ein Netzwerk ein. Anschließend schleusen sie eine Schadsoftware ein, die den anfälligen EnCase-Treiber enthält.

Alte, signierte Kernel‑Treiber – wie im aktuellen EnCase‑Fall – erlauben Angreifern, EDRs auszuhebeln und Code im Ring 0 auszuführen. Gerade IT‑Verantwortliche benötigen jetzt konkrete, sofort umsetzbare Maßnahmen: Kontrolle über das Laden von Treibern, aktuelle Treiber‑Blocklisten und das Erkennen unerwarteter Dienstregistrierungen. Unser kostenloses E‑Book fasst die wichtigsten Abwehrstrategien, Erkennungs‑Checklisten und Prioritäten für 2026 kompakt zusammen. Es erklärt zudem, warum Hersteller verstärkt auf Hypervisor‑ oder Hardware‑basierte Schutzschichten setzen und welche kurzfristigen Kontrollen sofort Wirkung zeigen. Gratis Cyber-Security-Guide sichern

Der Treiber besitzt eine Schnittstelle für Steuerbefehle (IOCTL). Diese nutzen die Hacker, um aus dem Nutzermodus Befehle zu senden, die der Treiber dann mit Kernel-Rechten ausführt. Der Treiber kann daraufhin beliebige Prozesse beenden – auch die Agenten moderner EDR-Systeme, die die Attacke sonst stoppen würden.

Die Angreifer tarnten ihre Spuren geschickt. Die Schadsoftware imitierte legitime OEM-Komponenten, manipulierte Dateizeitstempel („Timestomping“) und registrierte den Treiber als Windows-Kernel-Dienst, der bei jedem Neustart automatisch geladen wird.

Black Basta setzt auf All-in-One-Angriff

Parallel dazu berichtet Security.com von einer taktischen Weiterentwicklung der Ransomware-Gruppe Black Basta. In einer aktuellen Kampagne bündelte die Gruppe eine BYOVD-Komponente direkt in ihre Ransomware-Payload.

Bisher wurden solche Treiber meist separat vor der Verschlüsselung der Daten eingesetzt. Die Integration in die Schadsoftware selbst vereinfacht den Angriff: Weniger Dateien werden auf dem Opfersystem abgelegt, was die Entdeckung durch Verhaltensanalysen erschwert. Dieser Schritt zeigt, dass Kernel-Angriffe für Cyberkriminelle zum Mainstream werden.

Systemisches Problem: Sicherheit vs. Kompatibilität

Der anhaltende Erfolg von BYOVD-Angriffen offenbart ein grundlegendes Dilemma im Windows-Ökosystem. Zwar gibt es Schutzmechanismen wie die Driver Signature Enforcement und eine Blockliste für anfällige Treiber. Doch sie sind nicht wasserdicht.

Die Tatsache, dass ein seit zehn Jahren widerrufen Treiber noch immer funktioniert, zeigt den Konflikt zwischen Sicherheit und Abwärtskompatibilität. Angreifer durchforsten systematisch Archive alter Software, um nicht blockierte, anfällige Treiber zu finden. Der Wechsel in den Kernel-Modus bedeutet meist das „Game Over“ für den Endpoint-Schutz, denn der Kernel kontrolliert die gesamte Systemwahrnehmung.

Die Ironie: Ausgerechnet ein Werkzeug für digitale Forensik, das bei der Aufklärung von Cyberkriminalität hilft, wird nun für Angriffe zweckentfremdet. Diese „Living off the Land“-Strategie mit signierten, vertrauenswürdigen Dateien macht die Arbeit der Verteidiger extrem schwer.

Was jetzt zu tun ist

Als Reaktion auf die neuen Erkenntnisse werden Sicherheitsanbieter ihre Treiber-Blocklisten schnell aktualisieren. Microsoft dürfte unter Druck geraten, die Überprüfung widerrufener Zertifikate zu verschärfen.

Unternehmen sollten jetzt handeln:
* Auf bekannte, anfällige Treiber prüfen.
* Sicherstellen, dass Treiber-Blocklisten aktiv und aktuell sind.
* Unerwartete Dienstregistrierungen und das Laden von Treibern aus ungewöhnlichen Verzeichnissen überwachen.

Da Gruppen wie Black Basta ihre Umgehungstechniken weiter verfeinern, wird der Kampf um den Kernel 2026 eskalieren. EDR-Hersteller sind gezwungen, noch robusteren Manipulationsschutz zu entwickeln – möglicherweise auf Hypervisor- oder Hardware-Ebene.

PS: Die jüngsten BYOVD‑Angriffe zeigen: Klassische Endpoint‑Schutzmaßnahmen reichen nicht mehr aus. Holen Sie sich den kostenlosen Leitfaden „Cyber Security Awareness Trends“ mit konkreten Schritten zur Aktualisierung von Treiber‑Blocklisten, Monitoring‑Checklisten und Prioritäten für die IT‑Sicherheit. Ideal für Geschäftsführer und IT‑Leiter, die das Risiko von Kernel‑Angriffen minimieren wollen. Plus: Praxisnahe Checklisten, die Sie sofort umsetzen können. Jetzt kostenlosen Cyber-Security‑Leitfaden anfordern