Meldung

Firmware-Schadcode gesichtet

Malware, die die Firmware von Rechnerkomponenten befällt, ist besonders schwer zu entdecken und zu entfernen. Nun hat Kaspersky den dritten Fall eines Firmware-Bootkits "in the wild" entdeckt. Der Schädling namens "MoonBounce" nistet sich im UEFI ein. Dieses befindet sich im SPI-Flash, einer Speicherkomponente außerhalb der Festplatte.
Die Malware "MoonBounce" befällt die UEFI-Firmware.
MoonBounce tauchte laut Kaspersky [1] erstmals im Frühling 2021 auf und zeigt einen ausgeklügelten Angriffsablauf, der im Vergleich zu früher gemeldeten UEFI-Firmware-Bootkits einen deutlichen Fortschritt darstellt. Die Kampagne wird mit großer Sicherheit dem bekannten Advanced Persistent Threat (APT)-Akteur "APT41" zugeschrieben. Die UEFI-Firmware ist eine wichtige Komponente in den meisten Computern. Ihr Code ist für das Hochfahren des Geräts und der Kontrollübergabe an die Software zum Laden des Betriebssystems verantwortlich.

Wenn diese Firmware bösartigen Code enthält, wird dieser vor dem Betriebssystem gestartet, so dass Malware, die durch ein Firmware-Bootkit implantiert wurde, besonders schwer zu löschen ist. Sie kann nicht einfach durch die erneute Formatierung einer Festplatte oder die Neuinstallation eines Betriebssystems entfernt werden. Da sich der Code außerhalb der Festplatte befindet, werden die Aktivitäten solcher Bootkits von den meisten Sicherheitslösungen nicht erkannt - es sei denn, sie verfügen über eine Funktion, die speziell diesen Teil des Geräts scannt.

MoonBounce: Modifiziertes Bootkit
MoonBounce ist erst das dritte identifizierte UEFI-Bootkit. Es tauchte im Frühling 2021 "in the wild" auf und wurde erstmals von den Kaspersky-Forschern entdeckt, als sie die Aktivität ihres Firmware-Scanners untersuchten, der seit Anfang 2019 in Kaspersky-Produkten enthalten ist. Mit diesem sollen speziell Bedrohungen erkannt werden, die sich im ROM-BIOS verstecken, einschließlich UEFI-Firmware-Images. Im Vergleich zu den beiden zuvor entdeckten Bootkits LoJax und MosaicRegressor zeigt MoonBounce einen deutlichen Fortschritt mit einem komplizierteren Angriffsablauf und größerer technischer Raffinesse.

Das Implantat befindet sich in der CORE_DXE-Komponente der Firmware, die bereits während der UEFI-Boot-Sequenz aufgerufen wird. Über eine Reihe von Hooks, die bestimmte Funktionen abfangen, gelangen die Komponenten des Implantats dann in das Betriebssystem, wo sie sich mit einem Command-and-Control-Server in Verbindung setzen, um weitere schädliche Payloads abzurufen, die Kaspersky nicht abrufen konnte. Die Infektionskette selbst hinterlässt dabei keine Spuren auf der Festplatte, da ihre Komponenten im Speicher arbeiten und so einen dateilosen Angriff mit wenig hinterlassenen Spuren ermöglichen.

Erweitertes Bedrohungsarsenal

Bei der Untersuchung von MoonBounce entdeckten die Experten von Kaspersky verschiedene schädliche Loader und Post-Exploitation-Malware über mehrere Knoten desselben Netzwerks. Dazu gehören

  • ScrambleCross oder Sidewalk, ein In-Memory-Implantat, das mit einem C2-Server kommunizieren kann, um Informationen auszutauschen und zusätzliche Plugins auszuführen,
  • Mimikatz_ssp, ein öffentlich verfügbares Post-Exploitation-Tool, das zum Auslesen von Anmeldeinformationen und sensiblen Daten verwendet wird,
  • eine bisher unbekannte Golang-basierte Backdoor
  • sowie Microcin, eine Malware, die typischerweise vom Bedrohungsakteur SixLittleMonkeys verwendet wird.

Es könnte laut Kaspersky sein, dass MoonBounce diese Arten von Schadsoftware herunterlädt oder eine frühere Infektion durch eine dieser Malware-Varianten dazu dient, den Computer zu kompromittieren, damit MoonBounce Fuß im Netzwerk fassen kann. Eine andere mögliche Infektionsmethode für MoonBounce wäre, dass der Rechner kompromittiert wurde, bevor die Auslieferung an das avisierte Unternehmen erfolgte.

In beiden Fällen wird davon ausgegangen, dass die Infektion durch Fernzugriff auf den Zielcomputer geschieht. Während bei LoJax und MosaicRegressor DXE-Treiber hinzugefügt wurden, wird bei MoonBounce eine bestehende Firmware-Komponente verändert, um einen subtileren und heimlicheren Angriff zu ermöglichen.

Im Rahmen der gesamten Kampagne gegen das betreffende Netzwerk führten die Angreifer offensichtlich eine Vielzahl von Aktionen - etwa das Archivieren von Dateien und das Sammeln von Netzwerkinformationen - durch. Die von den Cyberkriminellen verwendeten Befehle deuten darauf hin, dass sie an lateralen Bewegungen und der Exfiltration von Daten interessiert waren. Da ein UEFI-Implantat verwendet wurde, ist es wahrscheinlich, dass sie Spionageaktivitäten durchführen sollten.

Angriff weist auf APT41 hin
Laut Kaspersky kann MoonBounce mit großer Sicherheit APT41 zugeschrieben werden, einem chinesischsprachigen Bedrohungsakteur, der seit mindestens 2012 weltweit Cyberspionage- und Cyberkriminalitätskampagnen durchführt. Darüber hinaus deutet die Existenz einiger der oben genannten Schadprogramme im selben Netzwerk auf eine mögliche Verbindung zwischen APT41 und anderen chinesischsprachigen Bedrohungsakteuren hin.

Bislang wurde das Firmware-Bootkit nur auf einem einzigen Rechner einer Holdinggesellschaft im High-Tech-Markt entdeckt. Andere damit verbundene Schadprogramme - etwa ScrambleCross und seine Loader - wurden jedoch in den Netzwerken mehrerer anderer Opfer gefunden.

"Während wir die zusätzlichen Malware-Implantate, die bei unserer Untersuchung gefunden wurden, nicht eindeutig mit MoonBounce in Verbindung bringen können, scheint es so, als ob einige chinesischsprachige Bedrohungsakteure Tools miteinander austauschen, um ihre verschiedenen Kampagnen zu unterstützen", kommentiert Denis Legezo, Senior Security Researcher im Global Research and Analysis Team (GreAT) bei Kaspersky. "Insbesondere scheint es eine Verbindung zwischen Moon Bounce und Microcin zu geben."

"Vielleicht noch wichtiger ist, dass dieses neue UEFI-Bootkit ähnlich fortschrittlich wie MosaicRegressor ist, über das wir im Jahr 2020 berichtet haben", konstatiert Mark Lechtik, Senior Security Researcher im Global Research and Analysis Team bei Kaspersky. "Die Transformation einer zuvor harmlosen Firmware-Komponente, die jetzt den Zugriff durch Malware auf dem System erleichtert, ist eine Innovation, die bei früheren vergleichbaren Firmware-Bootkits nicht zu beobachten war. Dadurch sind digitale Infektionen wesentlich schwieriger zu identifizieren.

Wir haben bereits 2018 prognostiziert, dass UEFI-Bedrohungen zukünftig mehr Raum einnehmen werden - dieser Trend scheint sich zu bestätigen. Es würde uns nicht überraschen, wenn im Jahr 2022 weitere Bootkits auftauchten. Glücklicherweise haben die Hersteller damit begonnen, Firmware-Angriffen mehr Aufmerksamkeit zu schenken, und so werden nach und nach mehr Sicherheitstechnologien wie BootGuard und Trusted Platform Modules eingeführt."
20.01.2022/dr

Tipps & Tools

Naturkatastrophen treffen auf Disaster Recovery [12.05.2022]

Der Klimawandel macht auch vor Deutschland keinen Halt. Ob Flut, Waldbrand oder Tornado – derartige Naturkatastrophen lassen sich immer öfter beobachten und können für Unternehmen schwerwiegende Folgen nach sich ziehen. Besonders wenn das eigene Rechenzentrum oder das des Cloudanbieters betroffen ist, droht Datenverlust. Wie Disaster-Recovery-Pläne und darauf abgestimmte Backupsysteme bei einem Ernstfall helfen können, erläutert unser Fachartikel. [mehr]

Exchange verabschiedet Basic-Auth-Anmeldung im Herbst [10.05.2022]

Microsoft schaltet zum 1. Oktober das Basic-Auth-Verfahren zur Anmeldung an Exchange-Online-Postfächern ab. Das Authenifizierungsverfahren gilt als äußerst unsicher, da eine Klartextübertragung der Anmeldedaten, die lediglich Base64-kodiert sind, stattfindet. Diese Maßnahme war überfällig, denn laut Microsoft ist Basic-Auth eine der am häufigsten genutzten Schwachstellen zur Kompromittierung der Nutzerdaten – wobei die Anzahl der Angriffe darauf noch laut Redmond noch immer ansteigt. [mehr]

Fachartikel

Pass-the-Hash-Angriffe vermeiden (3) [16.05.2022]

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Denn der ursprünglich sehr aufwändige Pass-the-Hash-Angriff ist heutzutage nur noch eine Sache weniger Klicks. Im dritten und letzten Teil der Workshopserie geht es unter anderem darum, warum sie überflüssiges Clientgeschwätz abschalten und generell die Anzahl der Konten reduzieren sollten. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen