Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Böses im Boot : UEFI-Firmware im Visier von Cyberkriminellen

Malware möglichst tief und unentdeckbar in der Firmware von Systemen einzunisten, ist ein alter Traum von Angreifern und Cyberkriminellen. Was lange Zeit eher Theorie oder „Proof of Concept“ blieb, taucht jedoch seit einigen Jahren auch in tatsächlichen Angriffen auf. Jetzt wurde erneut ein Firmware-Rootkit in „freier Wildbahn“ entdeckt – Grund genug, sich diese Bedrohung wieder einmal vor Augen zu führen.

Bedrohungen
Lesezeit 7 Min.

Von Denis Legezo, Moskau

Auf den meisten Computern ist das Unified Extensible Firmware Interface (UEFI) eine zentrale Komponente, welche die Schnittstelle zwischen der Hard- und Software eines PCs darstellt. Der zugehörige Firmware-Code ist für das Hochfahren des Geräts und die Kontrollübergabe an die Software zum Laden des Betriebssystems verantwortlich und befindet sich auf dem Serial-Peripheral-Interface- (SPI)-Flash – einer Speicherkomponente der Hauptplatine (Motherboard) eines Computers.

Cyberkriminelle haben UEFI-Firmware schon einige Male ins Visier genommen: Denn schaffen sie es, dort schädlichen Code einzuschleusen, wird dieser noch vor dem Betriebssystem gestartet. Malware, die durch ein Firmware-Bootkit implantiert wurde, ist dadurch besonders schwer zu erkennen und zu entfernen – denn Sicherheitslösungen arbeiten auf der Kernel-Ebene des Betriebssystems, von wo aus sich der schädliche Code schwer bis gar nicht erkennen lässt. Dies und die Tatsache, dass sich die Firmware auf einem von der Festplatte getrennten Flash-Chip befindet, macht Angriffe auf UEFI schwer fassbar und besonders hartnäckig.

Die Entwicklung solcher Angriffe ist allerdings mit viel Aufwand verbunden – in der öffentlichen Forschung durch Security-Experten wurden erste Ansätze von BIOS-Rootkits Mitte 2009 vorgestellt [1]. Seither haben Kaspersky-Forscher einige solcher Firmware-Bootkits „in the wild“ entdeckt – das aktuellste wurde erst vor wenigen Wochen unter dem Namen CosmicStrand von Kaspersky öffentlich gemacht. Die Funktionsweise von UEFI-Bootkits wird im Folgenden anhand passender Beispiele illustriert.

Von VectorEDK zu MosaicRegressor …

Ein bekanntes Beispiel für Angriffe auf Firmware ist der Quellcode eines UEFI-Bootkits namens VectorEDK, das von HackingTeam entwickelt und im Jahr 2015 geleaked wurde. Der Code bestand aus einer Reihe von UEFI-Modulen, die man in die Plattform-Firmware integrieren konnte, um eine Backdoor auf dem System einzurichten, die beim Laden des Betriebssystems ausgeführt wird – oder diese erneut einzurichten, sollte sie gelöscht worden sein.

Obwohl der Code von VectorEDK online veröffentlicht wurde und noch heute auf Github zu finden ist [2], gab es viele Jahre keine Beweise für Angriffe damit „in the wild“. 2020 entdeckten Kaspersky-Experten jedoch MosaicRegressor, ein komplexes, mehrstufiges wie modulares Framework, das sich für Spionage und Datensammlung nutzen ließ. Diese zuvor unbekannte Schadsoftware nutzte auch UEFI-Malware als eine der Methoden, um sich auf einem System zu verankern.

Die aufgedeckten UEFI-Bootkit-Komponenten basierten auf dem von HackingTeam entwickelten VectorEDK-Bootkit. Der damals fünf Jahre alte Code ermöglichte es den Angreifern mit größter Wahrscheinlichkeit, ihre eigene Software mit wenig Entwicklungsaufwand und einem geringeren Entdeckungsrisiko zu erstellen. Diese Angriffe wurden mithilfe eines Firmware-Scanners identifiziert [3] – speziell dafür entwickelt, um Bedrohungen zu erkennen, die sich im BIOS-„ROM“ oder in UEFI-Images verstecken.

Obwohl die Ermittlung des genauen Infektionsvektors, der es den Angreifern ermöglichte, die ursprüngliche UEFI-Firmware zu überschreiben, nicht möglich war, hatten Kaspersky-Analysten Schlüsse daraus gezogen, wie dies auf Grundlage durchgesickerter HackingTeam-Dokumente [4] über VectorEDK erfolgen konnte. Dabei liegt es nahe (ohne andere Optionen auszuschließen), dass eine Infektion durch physischen Zugriff auf den Computer des Betroffenen erfolgt sein muss – möglicherweise mittels eines bootfähigen USB-Sticks, der ein spezielles Update-Dienstprogramm enthielt. Die gepatchte Firmware hätte dadurch die Installation eines Trojaner-Downloaders ermöglicht.

In den meisten Fällen wurden die MosaicRegressor-Komponenten jedoch mit weitaus weniger durchdachten Maßnahmen an die Opfer gebracht, zum Beispiel über Spear-Phishing, bei dem Opfer zusammen mit einem Köder (Decoy-File) ein in einem Archiv versteckter Dropper geliefert bekamen. Eine modulare Struktur ermöglichte es Angreifern dabei, das gesamte Framework vor Analysen zu verbergen und seine Komponenten nur bei Bedarf auf den Zielcomputern zu installieren. Bei der ursprünglich auf infizierten Geräten installierten Malware handelte es sich um einen Trojaner-Downloader – also ein Programm, das zusätzliche Nutzdaten und andere Malware aus dem Netz nachladen kann. Je nach Payload konnte die Malware beliebige Dateien von und zu beliebigen URLs herunter- oder hochladen sowie Informationen vom Zielrechner einsammeln.

Anhand der identifizierten Betroffenen konnten die Forscher feststellen, dass MosaicRegressor in einer Reihe von zielgerichteten Angriffen auf Diplomaten sowie Mitglieder von Nichtregierungsorganisationen (NGOs) aus Afrika, Asien und Europa eingesetzt wurde. Einige der Angriffe enthielten Spear-Phishing-Dokumente in russischer Sprache, während andere einen Bezug zu Nordkorea aufwiesen und als Köder zum Herunterladen von Malware dienten. Die Kampagne lässt sich jedoch bis heute nicht zweifelsfrei mit bekannten Akteuren für fortgeschrittene anhaltende Bedrohungen (Advanced Persistent Threats, APTs) in Verbindung bringen.

… über MoonBounce …

Ein dritter öffentlich bekannt gewordener Fall von firmwarebasierten Rootkits ist MoonBounce. Das zugehörige Implantat befindet sich in der CORE_DXE-Komponente der Firmware, die bereits früh, während der UEFI-Boot-Sequenz, aufgerufen wird. Über eine Reihe von Hooks, die bestimmte Funktionen abfangen, gelangen die Komponenten des Implantats in das Betriebssystem, wo sie sich mit einem Command-&-Control-(C2)-Server in Verbindung setzen, um weitere schädliche Komponenten (Payloads) aus dem Internet abzurufen.

Zwar konnten die Forscher bei Kaspersky keine Samples abrufen und analysieren, dafür entdeckten sie jedoch einige schädliche Loader und Post-Exploitation-Malware – über mehrere Knoten desselben Netzwerks hinweg verteilt. Die stärkste Verbindung wurde zwischen MoonBounce und ScrambleCross oder Sidewalk gefunden – einem In-Memory-Implantat, das mit einem C2-Server kommunizieren kann, um Informationen auszutauschen und zusätzliche Plug-ins auszuführen. In mehreren Fällen wandte sich die MoonBounce-Malware an denselben Server, den auch ScrambleCross kontaktierte, sobald es im gleichen Netzwerk installiert wurde.

Andere Malware, die dort gefunden wurde, umfasst Mimikat_ssp – ein öffentlich verfügbares Post-Exploitation-Tool, das zum Auslesen von Anmeldeinformationen und Sicherheitsgeheimnissen verwendet wird – sowie eine bisher unbekannte Golang-basierte Backdoor und Microcin. Bei Letzterem handelt es sich um eine Malware, die typischerweise vom Bedrohungsakteur Six-LittleMonkeys verwendet wird. Möglich ist, dass MoonBounce diese Malware-Teile herunterlädt oder eine frühere Infektion mit einem dieser Schadprogramme dazu dient, den Computer zu kompromittieren, damit MoonBounce im Netzwerk Fuß fassen kann.

… bis zu CosmicStrand

Im Juli 2022 hat Kaspersky CosmicStrand entdeckt: ein UEFI-Rootkit in Firmware-Images von Gigabyte- oder ASUS-Hauptplatinen. All diese Images beziehen sich auf Designs, die den sogenannten H81-Chipsatz der Intel-8-Serie verwenden. Das deutet darauf hin, dass eine gemeinsame Schwachstelle bestehen könnte, die es den Angreifern ermöglicht, ihr Rootkit in das Firmware-Image einzuschleusen. Kaspersky-Forscher konnten Betroffene von CosmicStrand in China, Vietnam, Iran und Russland identifizieren – bei allen Betroffenen scheint es sich um Privatpersonen zu handeln.

Abwehrmöglichkeiten

UEFI hat sich längst zu einer Standard-Technologie entwickelt, die in bestimmte Chips moderner Computersysteme eingebettet ist – gleichzeitig ist es zu einem Ziel für Bedrohungsakteure geworden, um besonders hartnäckige Angriffe durchzuführen. Auch wenn die Implementierung von UEFI von Gerät zu Gerät und je nach PC-Hersteller unterschiedliche Schnittstellen und Funktionen mit sich bringt, unterscheiden sich die Grundlagen der UEFI-Firmware nur geringfügig.

In den vergangenen Jahren hat sich herausgestellt, dass die UEFI-Firmware einiger Hersteller für Schwachstellen anfällig ist, da es Angreifern möglich war, UEFI-Sicherheitsfunktionen zu umgehen. Um das zu vermeiden sind regelmäßige Updates, die vom Betriebssystem aus eingespielt werden, nötig, um die Firmware auf den neuesten Stand zu bringen. Des Weiteren ist es wichtig, nur Hardware von vertrauenswürdigen Anbietern und Lieferanten zu kaufen. Außerdem sollte man auf der Website des Computer- oder Motherboard-Herstellers nachsehen, ob die Hardware den Intel Boot Guard unterstützt, der eine unbefugte Änderung von UEFI-Firmware verhindert – und im nächsten Schritt sicherstellen, dass dieser auch aktiviert ist.

Attacken auf Firmware-Ebene sind im Vergleich zu anderen Angriffsvektoren aufgrund des höheren Aufwands noch immer eher selten. Dennoch haben Chiphersteller sowie Hardware- und Betriebssystemanbieter Maßnahmen ergriffen, um ihre Produkte vor dieser Bedrohung zu schützen. Das bedeutet unter anderem: Um mögliche Malware abzuwehren, sollten SOC-Teams stets Zugang zu den neuesten Bedrohungsdaten haben (Threat Intelligence, TI). Nur so bleibt man jederzeit über aktuelle Methoden und Taktiken von Cyberkriminellen informiert und kann darüber eine Risikoeinschätzung vornehmen sowie entsprechende Sicherheitsmaßnahmen ergreifen.

Des Weiteren sollte eine EDR-Lösung (Endpoint Detection and Response) zur Erkennung, Untersuchung und rechtzeitigen Behebung von Vorfällen auf Endpunktebene implementiert sein, die Hand in Hand mit einer umfassenden Endpoint-Schutzlösung arbeitet.

Fazit

Die beschriebenen Angriffe demonstrieren, wie viel Akteure bereit sind zu investieren, um auf einem Zielcomputer das höchste Maß an Persistenz zu erreichen. Es ist höchst ungewöhnlich, kompromittierte UEFI-Firmware in freier Wildbahn zu entdecken. Dennoch war und ist UEFI für APT-Akteure nach wie vor von größtem Interesse, während es von Sicherheitsanbietern allzu oft noch übersehen wird. Eine Kombination aus Technik und dem Verständnis aktueller sowie vergangener Kampagnen, die infizierte Firmware nutzen, kann jedoch dabei helfen, zukünftige Angriffe auf solche Ziele erfolgversprechend zu überwachen, zu entdecken und zu bekämpfen. ■

Denis Legezo ist Lead Security Researcher bei Kaspersky.

Literatur

[1] Alfredo Ortega, Anibal Sacco, Persistent BIOS Infection, The early bird catches the worm, in: Phrack Volume 0x0d, Issue 0x42, Juni 2009, http://phrack.org/issues/66/7.html – siehe auch www.coresecurity.com/core-labs/open-source-tools/bios-rootkits

[2] Hacked Team, Vector EFI Development Kit (EDK), github Repository, März 2014 bis April 2015, https://github.com/hackedteam/vector-edk

[3] Kaspersky, Anti-Rootkit and Remediation Technology, Enterprise Security Wiki, www.kaspersky.com/enterprise-security/wiki-section/products/anti-rootkit-and-remediation-technology

[4] Alex Hern, Hacking Team hacked: firm sold spying tools to repressive regimes, documents claim, Cybersecurity firm has 400GB of what purport to be its own documents published via its Twitter feed after hack, The Guardian, Juli 201

5, www.theguardian.com/technology/2015/jul/06/hacking-team-hacked-firm-sold-spying-tools-to-repressive-regimes-documents-claim

Diesen Beitrag teilen: