TrickBoot
Bildquelle: madartzgraphics, thx!

TrickBoot: Malware gefährdet die Firmware-Sicherheit

Sicherheitsforscher haben herausgefunden, dass sich die berüchtigte Trickbot-Malware geändert hat (TrickBoot) und nun auf Firmware abzielt.

Trotz jüngster Bemühungen zu ihrer Abschaltung, sind die Betreiber eines bösartigen Botnetzes mit einem neuen Modul namens „TrickBoot“ zurück. Dieses erkennt Sicherheitslücken in der UEFI/ BIOS-Firmware und zielt darauf ab.

In einem aktuellen Forschungsbericht haben die Sicherheitsanbieter Advanced Intelligence und Eclypsium ein neues Malware-Modul namens „TrickBoot“ vorgestellt. Mit dieser Funktion können Angreifer nach Schwachstellen suchen, die es ihnen ermöglicht, die Unified Extensible Firmware-Schnittstelle eines Computers, die Schnittstelle zwischen der Firmware auf einem Computer-Motherboard und dem Betriebssystem des Computers, zu übernehmen und Daten zu lesen, zu schreiben oder zu löschen. Hierbei erkennt das Modul UEFI/BIOS-Firmware und ist infolge in der Lage, diese zu manipulieren sowie sich dann dauerhaft im UEFI/BIOS einzubetten. Es überlebt sowohl komplette Neuinstallationen des Betriebssystems (OS), als auch einen Fetplattenaustausch.

TrickBoot gilt als ernsthafte Bedrohung

Diese neue Entwicklung des noch ausgefeilteren Trojaners TrickBoot wird aufgrund seiner Möglichkeiten nach der Installation als ernsthafte Bedrohung angesehen. Sobald ein Computer bootet, arbeiten UEFI und Firmware zusammen, um das Betriebssystem aufzurufen. Wenn schädlicher Code in die Firmware eingebettet wurde, kann er seine eigenen Softwaremodule laden oder sogar das Betriebssystem beim Laden ändern. Solche Module erkennt auch herkömmliche Antivirensoftware nicht.

„Mit Bootkits kann ein Angreifer steuern, wie das Betriebssystem gestartet wird, oder das Betriebssystem sogar direkt ändern, um die vollständige Kontrolle über ein System zu erlangen und übergeordnete Sicherheitskontrollen zu untergraben. Implantate auf UEFI-Ebene sind die tiefste, leistungsstärkste und verstohlenste Form von Bootkits.“, so die Sicherheitsforscher.

Trickbot war in letzter Zeit häufiger in den Nachrichten. Er ist modular aufgebaut und zeichnet sich durch Verwaltungsfähigkeiten auf infizierten Computern aus. Man nimmt an, dass die Akteure hinter dem Trojaner Kriminelle aus Russland und Nordkorea sind. Sie haben damit Telekommunikationsunternehmen, Gesundheitsunternehmen, Bildungseinrichtungen und sogar Infrastrukturbetreiber angegriffen.

Das Team von Eclypsium hat das neue Trickbot-Feature „Trickboot“ genannt. Es ermöglicht seinen Herstellern, die Kontrolle über einzelne Computer und ganze Netzwerke zu übernehmen.

„Es ist durchaus möglich, dass Bedrohungsakteure diese Sicherheitslücken bereits gegen hochwertige Ziele ausnutzen. Bei ähnlichen UEFI-bezogenen Bedrohungen sind Jahre vergangen, bevor sie entdeckt wurden. Genau dies ist ihr Wert für Angreifer“, schreiben Advanced Intelligence und Eclypsium im Forschungsbericht.

Bislang geht man allerdings davon aus, dass Trickboot aktuell nur zu Analysezwecken zum Einsatz kommt, um sich einen Überblick über die Systeme und deren Schwächen zu verschaffen. Jedoch bereits „eine Zeile Code könnte dieses Aufklärungsmodul in ein Angriffswerkzeug verwandeln“ weist Eclypsium hin. Infolge stünde den Cyberkriminellen ein breites Spektrum an Options-Arsenal zur Verfügung.

Tarnkappe.info

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.