UEFI-Rootkits: Von der Theorie zur gefährlichen Praxis
UEFI-Rootkits: Traum aller Hacker, Albtraum für alle anderen. Viel diskutiert, waren sie jedoch nie Teil eines tatsächlich beobachteten Angriffs – bis die Experten bei ESET im August diesen Jahres eine Kampagne der bekannten Sednit-Gruppe aufdeckten. Waren sie bisher nur als Machbarkeitsstudien auf Konferenzen vorgestellt worden oder als Teil des Arsenals von Geheimdiensten bekannt, ist seit 2018 sicher, dass solche Rootkits auch außerhalb von Forschungslaboren zum Einsatz kommen.
Oben genannte Sednit-Kampagne verwendete ein Rootkit, welches die Forscher LoJax tauften und im Whitepaper „Erstes UEFI-Rootkit in freier Wildbahn gefunden – Sednit-Gruppe erweitert Arsenal“ im Detail beschreiben. Weitere Informationen zu Gefahren auf BIOS-Ebene finden sich im Security-Blog WeLiveSecurity.
Sicherheitsrisiken auf Firmware-Ebene, UEFI, Rootkits
Das Programm, welches beim Anschalten des Rechners ausgeführt wird und letztlich Kontrolle über das gesamte Betriebssystem besitzt, wird als Firmware bezeichnet. Das Regelset, nach dem diese funktioniert, nennt man UEFI (früher BIOS). Firmware und UEFI sind oftmals so eng verknüpft, dass von UEFI-Firmware gesprochen wird.
Ein Rootkit wird dazu verwendet, unerlaubt und dauerhaft Zugriff auf normalerweise nicht zugängliche Systemteile zu erhalten. Im Allgemeinen ist die Infektion durch ein Rootkit oder andere, hiermit auf das System aufgespielte Malware nicht erkennbar.
Mehr erfahren
Ein UEFI-Rootkit ist extrem gefährlich, da es sehr schwer zu entfernen ist und selbst eine Neuinstallation des Betriebssystems und den Austausch der Festplatte übersteht. Da die Integrität von Firmware-Code zumeist nicht auf Auffälligkeiten untersucht wird, bleiben die Aktivitäten des Rootkits zudem meist verborgen. Eine Ausnahme bilden hier die Sicherheitslösungen von ESET, die dank UEFI-Scanner auch diese Ebene eingehend analysieren.
Schädliche UEFI-Firmware ist besonders schwer zu erkennen und kann größte Schäden anrichten. Ein Albtraum für alle, die für die Sicherheit von IT-Infrastrukturen verantwortlich sind.
Jean-Ian Boutin, Senior Malware Researcher bei ESET
Der ESET-Schutz vor unerwünschter UEFI-Firmware
Als einziger Anbieter von IT-Security hat ESET einen UEFI-Scanner in seine Mehrschichtlösung integriert, der unerwünschte Komponenten in der Firmware identifiziert.
Der ESET UEFI Scanner ist Grundvoraussetzung für die Analyse von Firmware-Code durch weitere Erkennungstechnologien. Nutzer können dabei festlegen, ob regelmäßig oder nach Bedarf gescannt werden soll. Verdächtige Elemente in der Firmware werden als „Potenziell Unsichere Anwendungen“ markiert, da Anwendungen auf dieser Ebene potenziell Verfügungsgewalt über das gesamte System haben. Dabei kann es sich natürlich auch um legitime Software handeln, von deren Existenz der Administrator/Nutzer weiß – oder aber um schädlichen Code, der ohne dessen Wissen und Zustimmung auf das System gelangt ist.
Mehr erfahren
Natürlich erkennt ESETs UEFI-Scanner auch das neu entdeckte Rootkit und bietet so besten Schutz auf allen Ebenen.
Ist das System allerdings einmal infiziert, ist die Reinigung für den typischen Nutzer nur schwer durchführbar. Im Allgemeinen muss der Chip mit einem neuen, sauberen Firmware-Image bespielt werden. Ist dies nicht möglich, ist der Austausch des gesamten Motherboards die einzig verbleibende Lösung.
FAQs
Ist ESET wirklich der einzige Anbieter, der seine Kunden vor UEFI-Rootkits schützt?
Ist ESET tatsächlich der einzige Anbieter von Endpoint Security-Lösungen, dessen Produkte die UEFI-Firmware auf schädliche Elemente untersuchen? Und wenn ja, warum bieten andere Anbieter keine solche Lösung?
Unter den Top 20 Anbietern von Endpoint Security-Lösungen (nach Umsatz) ist ESET der einzige, der einen UEFI-Scanner in seinen Lösungen implementiert hat. Auch wenn andere Anbieter „UEFI“ als Schlagwort verwenden, kommen hier andere Technologien und kein wirklicher UEFI-Scanner zum Einsatz.
Doch warum ist ESET der einzige Anbieter in der Branche, der auch derart tiefe Systemebenen untersucht? Einfach gesagt: Wir nehmen unsere Aufgabe, unseren Kunden stets den umfassendsten Schutz zu bieten sehr ernst. Keine Frage, Angriffe auf UEFI-Ebene waren bisher sehr selten und in ihrem Umfang begrenzt. Ist eine solche Attacke jedoch erfolgreich, hat der Angreifer Zugriff auf die gesamte Maschine. Einmal ins System gelangte Malware lässt sich so gut wie nicht entfernen. Bei ESET haben wir uns deshalb entschieden, so viele Ressourcen wie möglich in die Weiterentwicklung der Abwehr von UEFI-Angriffe zu investieren.
Zudem zeigt die aktuelle Entdeckung eines UEFI-Rootkits außerhalb von Laboren, dass UEFI-Rootkits durchaus attraktiv für Angreifer sind und in Zukunft häufiger werden könnten.
Dank unseres UEFI-Scanners sind unsere Kunden bereits heute gegenüber solchen Angriffen geschützt.
Warum sollte die Firmware eines Rechners überprüft werden?
Einfach ausgedrückt: Nur so kann identifiziert werden, ob sich an der Firmware zu schaffen gemacht worden ist. Eingriffe in die Firmware sind extrem gefährlich, da sie schwer zu erkennen sind und selbst die Neuinstallation des Betriebssystems oder den Austausch der Festplatte überstehen.
Die Firmware kann zu unterschiedlichsten Zeitpunkten kompromittiert werden, sei es während der Produktion des Rechners selbst, beim Versand oder, falls der Angreifer physischen Zugriff auf das Gerät bekommt, durch Neuinstallation der Firmware. Zusätzlich hat unsere Forschung ergeben, dass hoch entwickelte Malware-Angriffe Modifikationen an der Firmware vornehmen können.
Wie arbeitet ESETs UEFI-Scanner?
Die meisten Sicherheitslösungen gehen nicht bis auf Firmware-Ebene, sollen sie doch lediglich Festplatten und Speicher analysieren. Um überhaupt Zugang zur Firmware zu erhalten, ist ein spezielles Tool, der „Scanner“, nötig.
Beim „UEFI-Scanner“ handelt es sich um ein ESET-Modul, welches allein dazu gedacht ist, den Inhalt der UEFI-Firmware zu lesen und für Analysen verfügbar zu machen. Der UEFI-Scanner ermöglicht so der eigentlichen Analyse-Engine, die Pre-Boot-Umgebung eingehend auf Integrität zu prüfen.
Mit Unterstützung des UEFI-Scanners sind unsere Sicherheitslösungen so in der Lage, verdächtige oder schädliche Elemente in der Firmware zu identifizieren und den Nutzer zu benachrichtigen.
Wie lässt sich die UEFI-Firmware säubern?
Wird ein verdächtiges oder schädliches Element in der Firmware erkannt, wird der Nutzer benachrichtigt und kann so die nächsten Schritte einleiten.
Ein möglicher Fall ist, dass das verdächtige Element völlig ungefährlich ist und zum Beispiel zu einem Diebstahlschutz gehört, welcher sich fest im System verankern muss und so als verdächtig klassifiziert wird.
Es kann jedoch auch sein, dass es keinen legitimen Grund für die Existenz der Komponente in der Firmware gibt. In diesem Fall müssen entsprechende Maßnahmen eingeleitet werden.
Leider lässt sich ein System nur schwer von entsprechenden Komponenten reinigen. Typischerweise muss die Firmware komplett neu geflasht werden, um diese zu entfernen. Ist das keine Option, bleibt nur der Austausch des Motherboards.
Entdeckung des Rootkits durch ESET
Der Weg bis zur Entdeckung des Rootkits wird im Blogpost und dem Whitepaper zum Thema beschrieben, die auf unserem Security-Blog WeLiveSecurity zu finden sind.
Kurz gesagt handelt es sich hier um das Ergebnis der hervorragenden Arbeit eines Forscherteams unter der Leitung von Jean-Ian Boutin, Senior Researcher bei ESET. Sie kombinierten ihr Wissen um die Sednit-Gruppe, Telemetriedaten der ESET-Systeme und frühere Entdeckungen ihrer Kollegen bei Arbor Network. Damit war es ihnen möglich, ein ganzes Arsenal an neuartigen Cyberwaffen zu identifizieren, darunter das erste UEFI-Rootkit in freier Wildbahn.
Die APT-Grupp Sednit
Sednit agiert seit mindestens 2004 und ist auch unter den Namen APT28, STRONTIUM, Sofacy und Fancy Bear bekannt. Es handelt sich hier um eine der aktivsten APT (Advanced Persistent Threat)-Gruppen überhaupt, die durch IT-Spionage und andere Cyberangriffe auf hochkarätige Ziele von sich reden machen.
Unter anderem werden Sednit die Angriffe auf das National Democratic Committee im Zuge der US-Wahlen 2016 sowie Attacken auf den Fernsehsender TV5Monde und die Anti-Doping-Agentur zugeschrieben.
Wie in einem früheren Whitepaper und mehreren Blogposts zum Thema beschrieben, war die Gruppe dabei stets bemüht, ihr Arsenal zu erweitern. Laut Jean-Ian Boutin zeigt gerade die aktuelle Entdeckung LoJax', dass die Gruppe höchst entwickelt und äußerst gefährlich ist.
Wie auch früher schon verdeutlicht, wird ESET die Gruppe weder politisch noch geografisch verorten. Eine solche Attribuierung, vor allem, wenn sie seriös und nachvollziehbar sein soll, liegt weit außerhalb unserer Möglichkeiten. Die Bezeichnung „Sednit“ dient uns lediglich als Oberbegriff für vergleichbare Software und dazugehörige Infrastruktur und soll keine Rückschlüsse auf spezifische Organisation ziehen.
Mit ESET sind Sie immer einen Schritt voraus
WeLiveSecurity Blog
Erfahren Sie alles über diese und weitere Entdeckungen in unserem preisgekrönten Security-Blog
Die ESET-Technologie
Mehrschichttechnologie aus Machine Learning, menschlichem Know-how und weltweiter Sammlung von relevanten Informationen