[PowerShell] find-vulnerable-drivers

Seite 1 von 1 - Forum: Coding Stuff auf overclockers.at

URL: https://www.overclockers.at/coding-stuff/powershell-find-vulnerable-drivers_260520/page_1 - zur Vollversion wechseln!

mr.nice. schrieb am 30.08.2022 um 15:58

Ransomware: Einbrecher deaktivieren Virenschutz mit Anti-Cheat-Treiber

Cyberkriminelle deaktivieren den Virenschutz mit einem verwundbaren und signierten Anti-Cheat-Treiber eines Spiels. Das ist jedoch gar nicht installiert.

Link: www.heise.de

Dieser Artikel auf heise.de hat mich dazu bewogen einen kleinen Scanner zu basteln, der die vulnerablen Treiber vom genannten github-repository herunterlädt, entpackt, SHA-256 Hashes berechnet, die Dateien gleich wieder löscht und die Werte in XML-basierte Powershell-Objekte exportiert. Dann wird die Festplatte C:\ rekursiv nach *.sys files durchsucht, was etwas dauert, dann wird der zweite Hashtable wieder nach clixml exportiert, als nächstes werden die beiden Hash-Tabellen auf Übereinstimmungen abgeglichen und wenn welche gefunden werden, landen diese in einer hübschen HTML-Datei, die automatisch geöffnet wird und Pfade bzw. Hashwerte der gefundenen Datei(en) ausgibt. Die XML-Dateien werden gelöscht sobald sie nicht mehr benötigt werden, damit eventuelle Änderungen bei sys files berücksichtigt werden können.

Vorteil der clixml Dateien ist unter anderem die Portabilität, d.h. man kann z.B. nur auf einem Client die vulnerablen Treiber runterladen und dann auf den übrigen Clients auf die bereits vorhandene vulnerabledrivers.xml matchen.

Code:

$Header = @"
<style>
body { background-color:#FAFAFA;
		color:#00137F;
		Font-Family:Verdana;
		font-size:10pt; }
TABLE {border-width: 1px;border-style: solid;border-color: #00137F;border-collapse: collapse; margin-left:5px; margin-bottom:2px;}
TH {border-width: 1px;padding: 4px;border-style: solid;border-color: #00137F;background-color: #C1D5F8;}
TD {border-width: 1px;padding: 4px;border-style: solid;border-color: #00137F;}
</style>
"@
$date = get-date -Format "yyyy-MM-dd HH:mm:ss"
$source = 'https://github.com/namazso/physmem_drivers/archive/refs/heads/master.zip'
$destination = 'C:\temp\master.zip'
Invoke-RestMethod -Uri $source -OutFile $destination
Expand-Archive C:\temp\master.zip -DestinationPath C:\Temp\ -Force
Remove-Item -Path C:\temp\master.zip -force
Get-ChildItem -Path C:\temp\physmem_drivers-master -Recurse -Filter *.sys -File | Get-FileHash | Export-Clixml C:\temp\vulnerabledrivers.xml
Remove-Item -Path C:\temp\physmem_drivers-master -Recurse
Write-Host "Scanning for vulnerable drivers, please wait!" -ForegroundColor Yellow
Get-ChildItem -Path C:\ -Recurse -File -Filter *.sys -ErrorAction "SilentlyContinue" | Get-FileHash |  Export-Clixml C:\temp\existingdrivers.xml
Compare-Object -PassThru -IncludeEqual -ExcludeDifferent (Import-CliXml C:\temp\existingdrivers.xml) (Import-CliXml C:\temp\vulnerabledrivers.xml) -Property hash | Select-Object Path, Hash, Algorithm | ConvertTo-Html -head $Header -PreContent "<H3>$date, vulnerable drivers found on this system:</H3>" | Set-Content C:\temp\vulnerabledrivers.html
Remove-Item C:\temp\vulnerabledrivers.xml
Remove-Item C:\temp\existingdrivers.xml
Write-Host "Scanning for vulnerable drivers finished!" -ForegroundColor Green
Invoke-Item C:\temp\vulnerabledrivers.html

DAO schrieb am 30.08.2022 um 17:17

@mr.nice

Danke für das teilen deiner Arbeit

wergor schrieb am 31.08.2022 um 00:17

+1 MHz

mr.nice. schrieb am 31.08.2022 um 07:19

Nebenbei bemerkt, ich habe damit angreifbare Treiber auf meinem eigenen PC gefunden, zwei waren Überbleibsel von Gigabyte Mainboard Software, die nicht entfernt wurden, obwohl die Software schon längst deinstalliert war. Beim dritten, inpoutx64.sys, kann ich nicht exakt feststellen wo der herkam, vermutlich vom clock tuner for ryzen.

hynk schrieb am 31.08.2022 um 09:55

Coole sache!

Hat bei mir bei Media Coder angeschlagen. Gleich mal weg. Die Software wurde eh schon lange ersetzt.

TOM schrieb am 31.08.2022 um 11:05

Danke für das Script

Bei mir hat inpoutx64.sys angeschlagen.

Wie finde ich jetzt heraus welche Software dies verwendet oder einfach YOLO delete zum BSOD?

Bei meiner Recherche im Netz find ich nichts wirklich Sinnvolles dazu.

mr.nice. schrieb am 31.08.2022 um 11:28

Der Autor von HWiNFO schreibt, dass er glaubt, dass inpoutx64.sys von CTR (Clock Tuner for Ryzen) verwendet wird. Ein anderer schreibt, dass es von ZenTimings verwendet wird:
https://www.hwinfo.com/forum/thread...7234/post-30302

Meine Vermutung, der Treiber dürfte von mehreren OC-Tools verwendet werden, um auf Hardwareressourcen zugreifen zu können.
Als problematisch dabei sehe ich auch die Tatsache, dass die Firma die den Treiber signiert hat, "Red Fox UK Limited" sich im April 2022 aufgelöst hat:
https://find-and-update.company-inf...ompany/09448631