{"id":2822,"date":"2025-02-28T11:57:44","date_gmt":"2025-02-28T09:57:44","guid":{"rendered":"https:\/\/it-news-blog.com\/?p=2822"},"modified":"2025-12-08T18:19:23","modified_gmt":"2025-12-08T16:19:23","slug":"ueber-2-500-truesight-sys-treibervarianten-ausgenutzt-um-edr-zu-umgehen","status":"publish","type":"post","link":"https:\/\/it-news-blog.com\/?p=2822","title":{"rendered":"\u00dcber 2.500 Truesight.sys-Treibervarianten ausgenutzt, um EDR zu umgehen"},"content":{"rendered":"

Eine umfangreiche Malware-Kampagne nutzt eine Sicherheitsl\u00fccke im Windows-Treiber Truesight.sys, der zu Adlice\u2019s Produktreihe geh\u00f6rt, aus um Erkennungsma\u00dfnahmen zu umgehen und die Gh0st RAT-Malware zu verbreiten. Die Angreifer generierten absichtlich verschiedene Varianten des Treibers 2.0.2, indem sie bestimmte Teile der PE-Datei modifizierten, w\u00e4hrend sie die digitale Signatur des Treibers beibehielten. Das Cyber-Sicherheitsunternehmen Check Point erkl\u00e4rte, dass die b\u00f6sartigen Aktivit\u00e4ten Tausende von ersten schadhafter Softwareproben umfassen, die dazu dienen, Programme zu installieren, die das Endpoint Detection and Response (EDR)-System durch sogenannte „Bring Your Own Vulnerable Driver“ (BYOVD)-Angriffe deaktivieren.<\/strong><\/p>\n

Auf der VirusTotal-Plattform wurden bis zu 2.500 Varianten des veralteten Truesight.sys-Treibers entdeckt, was jedoch vermutlich nur einen Bruchteil der tats\u00e4chlichen Anzahl darstellt. Diese Treiber-Varianten beinhalten ein EDR-Killer-Modul, das zum ersten Mal im Juni 2024 dokumentiert wurde. Ein Fehler in der Truesight-Treiber-Version 2.0.2 erm\u00f6glicht eine willk\u00fcrliche Prozessbeendigung und wurde bereits f\u00fcr Proof-of-Concept-Exploits wie Darkside und TrueSightKiller verwendet, die mindestens seit November 2023 \u00f6ffentlich zug\u00e4nglich sind.<\/p>\n

Im M\u00e4rz 2024 wurde von SonicWall ein Loader namens DBatLoader entdeckt, der ebenfalls den Truesight-Treiber ausnutzte, um Sicherheitsl\u00f6sungen zu deaktivieren, bevor er die Remcos RAT-Malware auslieferte. Hinweise deuten darauf hin, dass die Kampagne von der Bedrohungsgruppe Silver Fox APT stammt, was durch \u00c4hnlichkeiten in der Ausf\u00fchrung und im Targeting unterst\u00fctzt wird. Etwa 75 % der Opfer befinden sich in China, der Rest haupts\u00e4chlich in Singapur und Taiwan.<\/p>\n

Die Angriffsketten beginnen mit b\u00f6sartigen Artefakten, die oft als legitime Anwendungen getarnt sind und \u00fcber betr\u00fcgerische Websites und gef\u00e4lschte Kan\u00e4le in Messaging-Apps verbreitet werden. Diese Proben fungieren als Downloader, der die alte Version des Truesight-Treibers sowie eine weitere Malware-Phase ablegt. Diese zweite Stufe l\u00e4dt die EDR-Killer-Malware und die Gh0st RAT-Malware nach. Auch wenn die Varianten des Truesight-Treibers durch die ersten Proben installiert werden, k\u00f6nnen sie auch durch das EDR\/AV-Killer-Modul installiert werden, falls der Treiber noch nicht auf dem System vorhanden ist.<\/p>\n

Das EDR\/AV-Killer-Modul verwendet die BYOVD-Technik, um den anf\u00e4lligen Treiber auszunutzen und Prozesse zu beenden, die mit Sicherheitssoftware verbunden sind, wodurch der Angriff den Microsoft Vulnerable Driver Blocklist-Mechanismus umgeht. Die Angriffe gipfeln in der Bereitstellung einer Variante der Gh0st RAT, die als HiddenGh0st bezeichnet wird und den Angreifern Fernzugriff auf kompromittierte Systeme gew\u00e4hrt, um Daten zu stehlen und \u00dcberwachungen durchzuf\u00fchren. Ab dem 17. Dezember 2024 hat Microsoft die Treiberblockliste aktualisiert, um den betroffenen Treiber zu blockieren.<\/p>\n

Durch das Modifizieren bestimmter Teile des Treibers, w\u00e4hrend die digitale Signatur erhalten bleibt, konnten die Angreifer g\u00e4ngige Erkennungsmechanismen umgehen und \u00fcber Monate hinweg unentdeckt bleiben. Die Ausnutzung der Schwachstelle zur Prozessbeendigung hat den Angreifern geholfen, die Sicherheitsl\u00f6sungen noch effektiver zu umgehen.<\/p>\n

 <\/p>\n

 <\/p>\n

\n
\n
\n
\n

Matthias A. Walter,<\/strong> http:\/\/www.tec4net.com<\/a><\/p>\n

\n

EDV-Sachverst\u00e4ndiger | Auditor f\u00fcr Datenschutz und IT-Sicherheit<\/p>\n<\/div>\n

\n

Quellen und Links:<\/strong><\/p>\n<\/div>\n

Artikel von The Hacker News
\nhttps:\/\/thehackernews.com\/2025\/02\/2500-truesightsys-driver-variants.html<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
\n
\n

tec4net – IT-Sicherheitsstandards erfolgreich umsetzen
\nhttps:\/\/it-sicherheit-muenchen.com<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
\n
\n
\n

tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
\n<\/strong>Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO\/IEC 27001, TISAX, NIS-2 und PCI-DSS.<\/span><\/p>\n

 <\/p>\n

www.tec4net.com<\/a> \u2013 www.it-news-blog.com<\/a> \u2013 www.it-sachverstand.info<\/a> \u2013 www.datenschutz-muenchen.com<\/a> \u2013 www.datenschutz-muenchen.com<\/a>
\n<\/span><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Eine umfangreiche Malware-Kampagne nutzt eine Sicherheitsl\u00fccke im Windows-Treiber Truesight.sys, der zu Adlice\u2019s Produktreihe geh\u00f6rt, aus um Erkennungsma\u00dfnahmen zu umgehen und die Gh0st RAT-Malware zu verbreiten. Die Angreifer generierten absichtlich verschiedene Varianten des Treibers 2.0.2, indem sie bestimmte Teile der PE-Datei modifizierten, w\u00e4hrend sie die digitale Signatur des Treibers beibehielten. […]<\/p>\n","protected":false},"author":2,"featured_media":1605,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[963,960,966,961,964,965,962],"yoast_head":"\n\u00dcber 2.500 Truesight.sys-Treibervarianten ausgenutzt, um EDR zu umgehen - IT-NEWS-BLOG<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/it-news-blog.com\/?p=2822\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"\u00dcber 2.500 Truesight.sys-Treibervarianten ausgenutzt, um EDR zu umgehen - IT-NEWS-BLOG\" \/>\n<meta property=\"og:description\" content=\"Eine umfangreiche Malware-Kampagne nutzt eine Sicherheitsl\u00fccke im Windows-Treiber Truesight.sys, der zu Adlice\u2019s Produktreihe geh\u00f6rt, aus um Erkennungsma\u00dfnahmen zu umgehen und die Gh0st RAT-Malware zu verbreiten. Die Angreifer generierten absichtlich verschiedene Varianten des Treibers 2.0.2, indem sie bestimmte Teile der PE-Datei modifizierten, w\u00e4hrend sie die digitale Signatur des Treibers beibehielten. [...]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/it-news-blog.com\/?p=2822\" \/>\n<meta property=\"og:site_name\" content=\"IT-NEWS-BLOG\" \/>\n<meta property=\"article:published_time\" content=\"2025-02-28T09:57:44+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-12-08T16:19:23+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/it-news-blog.com\/wp-content\/uploads\/2012\/11\/281112.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"960\" \/>\n\t<meta property=\"og:image:height\" content=\"400\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Matthias Walter\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Matthias Walter\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"3\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/it-news-blog.com\/?p=2822\",\"url\":\"https:\/\/it-news-blog.com\/?p=2822\",\"name\":\"\u00dcber 2.500 Truesight.sys-Treibervarianten ausgenutzt, um EDR zu umgehen - IT-NEWS-BLOG\",\"isPartOf\":{\"@id\":\"https:\/\/it-news-blog.com\/#website\"},\"datePublished\":\"2025-02-28T09:57:44+00:00\",\"dateModified\":\"2025-12-08T16:19:23+00:00\",\"author\":{\"@id\":\"https:\/\/it-news-blog.com\/#\/schema\/person\/e0c100c6b645f34e659beeb06e2295fc\"},\"breadcrumb\":{\"@id\":\"https:\/\/it-news-blog.com\/?p=2822#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/it-news-blog.com\/?p=2822\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/it-news-blog.com\/?p=2822#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Startseite\",\"item\":\"https:\/\/it-news-blog.com\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"\u00dcber 2.500 Truesight.sys-Treibervarianten ausgenutzt, um EDR zu umgehen\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/it-news-blog.com\/#website\",\"url\":\"https:\/\/it-news-blog.com\/\",\"name\":\"IT-NEWS-BLOG\",\"description\":\"Ein Service der tec4net GmbH\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/it-news-blog.com\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"de\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/it-news-blog.com\/#\/schema\/person\/e0c100c6b645f34e659beeb06e2295fc\",\"name\":\"Matthias Walter\",\"sameAs\":[\"https:\/\/tec4net.com\"],\"url\":\"https:\/\/it-news-blog.com\/?author=2\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"\u00dcber 2.500 Truesight.sys-Treibervarianten ausgenutzt, um EDR zu umgehen - IT-NEWS-BLOG","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/it-news-blog.com\/?p=2822","og_locale":"de_DE","og_type":"article","og_title":"\u00dcber 2.500 Truesight.sys-Treibervarianten ausgenutzt, um EDR zu umgehen - IT-NEWS-BLOG","og_description":"Eine umfangreiche Malware-Kampagne nutzt eine Sicherheitsl\u00fccke im Windows-Treiber Truesight.sys, der zu Adlice\u2019s Produktreihe geh\u00f6rt, aus um Erkennungsma\u00dfnahmen zu umgehen und die Gh0st RAT-Malware zu verbreiten. Die Angreifer generierten absichtlich verschiedene Varianten des Treibers 2.0.2, indem sie bestimmte Teile der PE-Datei modifizierten, w\u00e4hrend sie die digitale Signatur des Treibers beibehielten. [...]","og_url":"https:\/\/it-news-blog.com\/?p=2822","og_site_name":"IT-NEWS-BLOG","article_published_time":"2025-02-28T09:57:44+00:00","article_modified_time":"2025-12-08T16:19:23+00:00","og_image":[{"width":960,"height":400,"url":"https:\/\/it-news-blog.com\/wp-content\/uploads\/2012\/11\/281112.jpg","type":"image\/jpeg"}],"author":"Matthias Walter","twitter_card":"summary_large_image","twitter_misc":{"Verfasst von":"Matthias Walter","Gesch\u00e4tzte Lesezeit":"3\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/it-news-blog.com\/?p=2822","url":"https:\/\/it-news-blog.com\/?p=2822","name":"\u00dcber 2.500 Truesight.sys-Treibervarianten ausgenutzt, um EDR zu umgehen - IT-NEWS-BLOG","isPartOf":{"@id":"https:\/\/it-news-blog.com\/#website"},"datePublished":"2025-02-28T09:57:44+00:00","dateModified":"2025-12-08T16:19:23+00:00","author":{"@id":"https:\/\/it-news-blog.com\/#\/schema\/person\/e0c100c6b645f34e659beeb06e2295fc"},"breadcrumb":{"@id":"https:\/\/it-news-blog.com\/?p=2822#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/it-news-blog.com\/?p=2822"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/it-news-blog.com\/?p=2822#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Startseite","item":"https:\/\/it-news-blog.com\/"},{"@type":"ListItem","position":2,"name":"\u00dcber 2.500 Truesight.sys-Treibervarianten ausgenutzt, um EDR zu umgehen"}]},{"@type":"WebSite","@id":"https:\/\/it-news-blog.com\/#website","url":"https:\/\/it-news-blog.com\/","name":"IT-NEWS-BLOG","description":"Ein Service der tec4net GmbH","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/it-news-blog.com\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"de"},{"@type":"Person","@id":"https:\/\/it-news-blog.com\/#\/schema\/person\/e0c100c6b645f34e659beeb06e2295fc","name":"Matthias Walter","sameAs":["https:\/\/tec4net.com"],"url":"https:\/\/it-news-blog.com\/?author=2"}]}},"_links":{"self":[{"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/posts\/2822"}],"collection":[{"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2822"}],"version-history":[{"count":2,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/posts\/2822\/revisions"}],"predecessor-version":[{"id":2831,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/posts\/2822\/revisions\/2831"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/media\/1605"}],"wp:attachment":[{"href":"https:\/\/it-news-blog.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2822"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2822"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2822"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}