TrickBots mit neuen Tricks Schadcode im UEFI

Autor / Redakteur: Dipl. Betriebswirt Otto Geißler / Peter Schmitz

Hacker, die TrickBots verwenden, werden immer raffinierter. Ein neues TrickBot-Modul, mit dem die Malware auch nach einer Neuformatierung bzw. einem Austausch einer Festplatte nicht beseitigt werden kann, beschäftigt die IT-Teams.

Firmen zum Thema

Das TrickBot-Modul kann durch das Eindringen von Schadcode in das UEFI auf einen Chip des Motherboards außerhalb der Festplatte den meisten Antivirenerkennungen, Softwareupdates oder sogar einer vollständigen Bereinigung und Neuinstallation entgehen.
Das TrickBot-Modul kann durch das Eindringen von Schadcode in das UEFI auf einen Chip des Motherboards außerhalb der Festplatte den meisten Antivirenerkennungen, Softwareupdates oder sogar einer vollständigen Bereinigung und Neuinstallation entgehen.
(© Connect world - stock.adobe.com)

Die TrickBot-Hacker sind in der IT-Security-Branche auch unter dem Namen „The Trick“ oder „Overdose“ bekannt und gelten derzeit als die gefährlichsten Cyberkriminellen des Internets. Es wird angenommen, dass zu diesem Botnet mehr als eine Million okkupierter Rechner unzähliger Unternehmen, Krankenhäuser und medizinischer Forschungseinrichtungen gehören, in denen Ransomware wie beispielsweise Ryuk und Conti ihr Unwesen treiben.

Umfassend modulares Malware-Ökosystem

Zunächst konzentrierten sich diese Hacker mit ihren Trojaner-Programmen auf Online-Banking-Betrügereien und den Diebstahl von Zugangsdaten. Mittlerweile erweiterten sie ihre Aktivitäten bzw. Funktionalitäten auf ein vollständiges modulares Malware-Ökosystem. Dazu zählen RDP-Scans, laterale Bewegungen durch SMB-Schwachstellen, VNC-basierten Remote-Zugriff u.v.m.

Zuletzt wurde ein neues TrickBot-Modul entdeckt, das es einer Malware ermöglicht, auch nach einer Neuformatierung oder dem Austausch einer Festplatte weiter zu existieren. Des Weiteren versetzt das neue Modul die Malware in die Lage, auf infizierten Systemen nach anfälligen UEFI-Konfigurationen zu suchen und in der Folge Systeme zu blockieren oder Low-Level-Backdoors einzubauen, die nur sehr schwer zu entfernen sind.

Da TrickBot mit Schadcode in das UEFI auf einem Chip außerhalb der Festplatten eindringt, sind die meisten Antivirus-Programme nicht in der Lage, die Malware zu erkennen. Selbst Softwareupdates oder eine vollständige Bereinigung bzw. Neuinstallation bleibt wirkungslos.

Zudem könnte das TrickBot-Modul den okkupierten Rechner „sperren“ und die Firmware soweit beschädigen, indem das Motherboard ersetzt werden müsste. Letztlich sind die Möglichkeiten dann endlos, von der Zerstörung bis zur Übernahme des gesamten Systems. Wenn die Firmware durch den Angreifer dazu verwendet wird, ein Gerät zu zerstören, sind die Szenarien der Wiederherstellung natürlich deutlich anders bzw. schwieriger als die nach einer Verschlüsselung des Dateisystems, wie beispielsweise ein Ransomware-Angriff durch Ryuk erfordern würde.

Persistenz-Bedrohungen durch UEFI-Level-Implantate

Das neue TrickBot-Modul wurde ebenfalls unter dem Namen PermaDll32 bekannt, der auf eine Art Persistenz-Mechanismus hindeutet. Wobei das Modul darauf ausgelegt wurde, Informationen aus dem BIOS bzw. der UEFI-Firmware infizierter Computer zu lesen. Dabei handelt es sich um den Low-Level-Code, der im SPI-Flash-Speicherchip des Motherboards gespeichert ist und die Hardware während des Bootvorgangs initiiert, um dann in der Folge die Kontrolle an das Betriebssystem zu übergeben.

Untersuchungen von AdvIntel und Eclypsium ergaben, dass das PermaDll32-Modul einen Treiber namens RwDrv.sys verwendet, der von RWEverything stammt, einem beliebten kostenlosen Tool, mit dem User die Firmware jeder Hardwarekomponente lesen und beschreiben können, einschließlich des SPI-Controllers, der das UEFI steuert.

Das TrickBot-Modul identifiziert die zugrunde liegende Intel-Hardwareplattform und prüft, ob das BIOS-Kontrollregister entsperrt und der BIOS/UEFI-Schreibschutz aktiviert ist. Damit die gesamte Boot-Kette gesichert wäre, müsste die UEFI-Firmware schreibgeschützt sein. Jedoch haben dies Computer-OEMs in der Vergangenheit oft in den Systemen falsch konfiguriert. Daher war es für Hacker dann sehr leicht, unbemerkt UEFI-Implantate zu integrieren.

Vermutlich sind noch Millionen von Rechner weltweit im Einsatz, die dafür anfällig sind. Im Prinzip zielt das TrickBoot-Modul auf alle Intel-basierten Systeme ab, die in den letzten mehr als fünf Jahren produziert wurden. Dafür genügt nur eine einzeilige Modifikation der aktuellen Implementierung, um das UEFI zu überschreiben und den Computer zu manipulieren.

So ist es gut möglich, dass über den Einsatz der Implantate, die Schadsoftware in den Netzwerken und auf hochwertigen Systemen überlebt, selbst wenn die Festplatten gelöscht und neu importiert werden. Nicht zuletzt, weil die Überprüfung auf Firmware-Kompromittierungen nicht zu einer gängigen Praxis im Rahmen typischer Incident-Response- und Malware-Bereinigungsaktionen gehört.

Hinzu kommt, sobald sich einmal ein bösartiger Code im UEFI befindet, kann er gefälschte Daten an jedes Software-Tool zurückmelden, das versucht, das UEFI zu lesen, und Versuche blockieren, das UEFI zu aktualisieren.

UEFI-Exploits verhindern

Eine der effektivsten Möglichkeiten, solche Angriffe zu verhindern, ist das BIOS/UEFI auf allen Systemen kontinuierlich zu aktualisieren, um sicherzustellen, dass alle bekannten Schwachstellen gepatcht sind.

Leider konzentrieren sich Anwender eher auf Betriebssystem-Updates und vernachlässigen dabei sträflichst die Firmware-Updates. Auf diese Weise hinken sie mit den regelmäßig notwendigen Updates hinterher. Für eine optimierte Vorbeugung sollten Anwender Firmware-Updates in ihre normalen Security-Prozesse miteinbeziehen.

Jedoch werden Firmware-Probleme bei Schwachstellen-Scans nicht zwingend erkannt. Einige Open-Source-Tools wie CHIPSEC oder einige kommerzielle Produkte verfügen über forensische Testfunktionen für verschiedene Hardware-Schnittstellen - einschließlich des UEFI. So können Intrusion-Detection-Systeme auf Host-Ebene einige der Komponenten erkennen.

Zusammenfassend kann konstatiert werden, dass jede größere Schwachstelle, die einem Angreifer einen Vorteil verschafft, in der Regel zuerst von TrickBots und dann von all den anderen Malware- und Ransomware-Gruppen attackiert werden. Somit werden TrickBots den Entwicklungszyklus für die meisten kriminellen Malwares anführen.

(ID:47398644)

Über den Autor