Hacking Team nutzt UEFI BIOS Rootkit mit persistenten Agenten

Originalartikel von Philippe Lin, Senior Engineer

Die veröffentlichten Hacking Team-Daten förderten eine weitere kritische Bedrohung zu Tage: Die Firma nutzt ein UEFI BIOS Rootkit, um ihren Remote Control System (RCS)-Agenten auf den Zielsystemen dauerhaft zu installieren. Das bedeutet, auch wenn der Nutzer die Festplatte neu formatiert, das Betriebssystem neu installiert oder gar eine neue Festplatte kauft, werden die Agenten eingebaut, sobald Windows wieder läuft.

Hacking Team hat speziell für Insyde BIOS (ein weitverbreiteter BIOS-Anbieter für Laptops) eine Prozedur aufgesetzt, doch funktioniert der Code sehr wahrscheinlich auch für AMI BIOS. Einer Folienpräsentation der Italiener zufolge erfordert eine erfolgreiche Infektion physischen Zugang zum Zielsystem. Doch lässt sich die Möglichkeit der Ferninstallation nicht ausschließen.

Ein Beispielszenario eines Angriffs könnte folgendermaßen aussehen: Der Eindringling verschafft sich Zugang zum Zielcomputer, rebootet in die UEFI Shell, führt einen Dump des BIOS aus, installiert das BIOS Rootkit, macht einen Reflash des BIOS und fährt dann das Zielsystem wieder hoch.

Trend Micros Sicherheitsforscher fanden heraus, dass Hacking Team ein Hilfswerkzeug für die Nutzer ihres BIOS Rootkits entwickelt hat und sogar Support anbietet, wenn das BIOS Image nicht kompatibel ist.


Bild 1. Technischer Support durch Hacking Team

Bei der Installation werden drei Module zuerst aus einer externen Quelle (kann ein USB-Schlüssel mit UEFI Shell sein) in einen Datei-Volume im modifizierten UEFI BIOS kopiert. Ntfs.mod erlaubt es dem UEFI BIOS, NTFS-Dateien zu lesen/schreiben. Rkloader.mod dockt dann ans UEFI Event an und ruft beim Hochfahren des Systems die Dropper-Funktion auf. Die Datei dropper.mod enthält den Agenten scout.exe und soldier.exe. Weitere Einzelheiten zur Funktionsweise liefert der Originalbeitrag.

Neben den vielen „Entdeckungen“ in den Hacking Team-Informationen der letzten Zeit sticht diese hervor, denn sie zeigt mehr von den Aktivitäten der Firma. Noch ist nicht klar, wer von dem Rootkit betroffen ist, doch der Name des Tools “The Hacking Suite for Governmental Interception” sagt etwas über die potenziellen Ziele aus.

Als Schutzmaßnahmen vor dem Rootkit empfiehlt es sich:

  • Sicherstellen, dass UEFI SecureFlash aktiviert ist,
  • Update des BIOS, wann immer es einen Sicherheits-Patch gibt sowie
  • Aufsetzen eines BIOS- oder UEFI-Passworts.

Server-Admins könnten auch einen Server mit physischem BIOS-Schreibschutz kaufen, wobei in diesem Fall ein Jumper nötig ist oder ein Dip Switch, um BIOS zu aktualisieren.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.