Hells-Hollow — Hells Hollow Windows 11 Rootkit technique to Hook the SSDT via Alt Syscalls
Ein neues Rootkit namens "Hells Hollow" nutzt eine Windows 11-Technik, um über alternative Systemaufrufe (Alt Syscalls) die SSDT zu hooken. Diese in Rust geschriebene Malware stellt eine Bedrohung für Kernel-Sicherheit dar. Nutzer sollten ihre Systeme auf dem neuesten Stand halten und wachsam gegenüber unbekannten Prozessen sein.
Ein neues Rootkit namens "Hells Hollow" wurde entdeckt, das eine Windows 11-Technik nutzt, um die SSDT über alternative Systemaufrufe zu hooken. Diese in Rust geschriebene Malware stellt eine Bedrohung für die Kernel-Sicherheit dar. Sie ermöglicht Angreifern, tiefe Systemkontrolle zu erlangen.
Nutzer von Windows 11.
Die Fähigkeit des Rootkits, die SSDT über alternative Systemaufrufe zu hooken, ermöglicht Angreifern eine tiefe Systemkontrolle auf Kernel-Ebene. Dies kann traditionelle Sicherheitslösungen umgehen und die Erkennung erschweren.
Angreifer erlangen persistente, schwer zu erkennende Kontrolle über ein Windows 11-System auf Kernel-Ebene, was die Manipulation von Systemfunktionen und die Umgehung von Sicherheitsmechanismen ermöglicht.
Systeme auf dem neuesten Stand halten, erweiterte Endpoint-Detection-Lösungen in Betracht ziehen und wachsam gegenüber unbekannten Prozessen sein.
- ▸Überprüfen Sie, ob alle Windows 11-Systeme die neuesten Sicherheitsupdates installiert haben.
- ▸Validieren Sie die Konfiguration Ihrer Endpoint Detection and Response (EDR)-Lösungen, um Kernel-Level-Aktivitäten und ungewöhnliche Systemaufrufe zu erkennen.
- ▸Führen Sie Scans mit aktuellen Antiviren- und Anti-Malware-Lösungen durch, die Rootkit-Erkennung unterstützen.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Defense Evasion | T1574 Hijack Execution Flow | High | nutzt eine Windows 11-Technik, um über alternative Systemaufrufe (Alt Syscalls) die SSDT zu hooken |
| Persistence | T1543 Create or Modify System Process | Low | Rootkit ... ermöglicht Angreifern, tiefe Systemkontrolle zu erlangen |
- Es wird nicht spezifiziert, wie das Rootkit initial auf Systeme gelangt (Initial Access).
- Es werden keine spezifischen IOCs (Indicators of Compromise) genannt.
- Es werden keine spezifischen betroffenen Branchen oder Regionen genannt.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Möglich
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Möglich
Kundenfragen
- Haben wir Windows extern erreichbar?
- Können wir Resource Development detektieren?
- Können wir Defense Evasion detektieren?