SecBoard
Zurück zur Übersicht

Hells-Hollow — Hells Hollow Windows 11 Rootkit technique to Hook the SSDT via Alt Syscalls

GitHub Trending·
Originalartikel lesen bei GitHub Trending

Ein neues Rootkit namens "Hells Hollow" nutzt eine Windows 11-Technik, um über alternative Systemaufrufe (Alt Syscalls) die SSDT zu hooken. Diese in Rust geschriebene Malware stellt eine Bedrohung für Kernel-Sicherheit dar. Nutzer sollten ihre Systeme auf dem neuesten Stand halten und wachsam gegenüber unbekannten Prozessen sein.

Kurzfassung

Ein neues Rootkit namens "Hells Hollow" wurde entdeckt, das eine Windows 11-Technik nutzt, um die SSDT über alternative Systemaufrufe zu hooken. Diese in Rust geschriebene Malware stellt eine Bedrohung für die Kernel-Sicherheit dar. Sie ermöglicht Angreifern, tiefe Systemkontrolle zu erlangen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Nutzer von Windows 11.

Warum relevant

Die Fähigkeit des Rootkits, die SSDT über alternative Systemaufrufe zu hooken, ermöglicht Angreifern eine tiefe Systemkontrolle auf Kernel-Ebene. Dies kann traditionelle Sicherheitslösungen umgehen und die Erkennung erschweren.

Realistisches Worst Case

Angreifer erlangen persistente, schwer zu erkennende Kontrolle über ein Windows 11-System auf Kernel-Ebene, was die Manipulation von Systemfunktionen und die Umgehung von Sicherheitsmechanismen ermöglicht.

Handlungsempfehlung

Systeme auf dem neuesten Stand halten, erweiterte Endpoint-Detection-Lösungen in Betracht ziehen und wachsam gegenüber unbekannten Prozessen sein.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob alle Windows 11-Systeme die neuesten Sicherheitsupdates installiert haben.
  • Validieren Sie die Konfiguration Ihrer Endpoint Detection and Response (EDR)-Lösungen, um Kernel-Level-Aktivitäten und ungewöhnliche Systemaufrufe zu erkennen.
  • Führen Sie Scans mit aktuellen Antiviren- und Anti-Malware-Lösungen durch, die Rootkit-Erkennung unterstützen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Defense EvasionT1574 Hijack Execution FlowHighnutzt eine Windows 11-Technik, um über alternative Systemaufrufe (Alt Syscalls) die SSDT zu hooken
PersistenceT1543 Create or Modify System ProcessLowRootkit ... ermöglicht Angreifern, tiefe Systemkontrolle zu erlangen
Offene Punkte
  • Es wird nicht spezifiziert, wie das Rootkit initial auf Systeme gelangt (Initial Access).
  • Es werden keine spezifischen IOCs (Indicators of Compromise) genannt.
  • Es werden keine spezifischen betroffenen Branchen oder Regionen genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Möglich
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Möglich

Kundenfragen

  • Haben wir Windows extern erreichbar?
  • Können wir Resource Development detektieren?
  • Können wir Defense Evasion detektieren?

MITRE ATT&CK Kill Chain (3 Techniken)

Defense Evasion
Themen
alt-syscallsalternative-syscallsexploitkernelkernel-exploitmalwarerootkitssdtssdt-hookssdt-hooking