image

UEFI-rootkit ontdekt die vervangen van harde schijf overleeft

donderdag 27 september 2018, 12:43 door Redactie, 24 reacties

Onderzoekers van anti-virusbedrijf ESET hebben naar eigen zeggen voor het eerst een UEFI-rootkit ontdekt die bij een echte aanval is ingezet en het opnieuw installeren van het besturingssysteem of het vervangen van de harde schijf kan overleven.

De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. In het verleden hebben onderzoekers verschillende aanvallen tegen UEFI gedemonstreerd, maar volgens onderzoekers van ESET zijn UEFI-rootkits nooit eerder bij een daadwerkelijke aanval waargenomen.

Eerder dit jaar waarschuwde securitybedrijf Arbor Networks dat aanvallers de anti-diefstalsoftware LoJack, ook bekend als Computrace, gebruikten om toegang tot gehackte machines te krijgen. LoJack is ontwikkeld om gestolen laptops en computers terug te vinden. De anti-diefstalsoftware bevindt zich in de firmware van de laptop of desktop en maakt het mogelijk om gestolen machines te traceren, zelfs als de harde schijf wordt geformatteerd of vervangen. Ook is het via LoJack mogelijk om op afstand code op het systeem uit te voeren.

Tijdens het onderzoek naar systemen waarbij de LoJack-software was gebruikt vonden onderzoekers van ESET ook verschillende tools waarmee het mogelijk was om de UEFI-firmware van het systeem te lezen en aan te passen. In één geval bleek dat een deel van het flashgeheugen ook was uitgelezen, aangepast en opnieuw overschreven. Op deze manier hadden de aanvallers een kwaadaardige UEFI-module aan het flashgeheugen toegevoegd. Deze module kon malware tijdens het opstartproces uitvoeren. Het ging specifiek om malware die de LoJack-software als backdoor gebruikte.

Door de firmware aan te passen kan de rootkit een herinstallatie van het besturingssysteem en zelfs het vervangen van de harde schijf overleven. Om een dergelijke rootkit te verwijderen zou de UEFI-firmware opnieuw moeten worden geflasht. Iets wat doorsnee gebruikers meestal niet doen, zo stellen de onderzoekers. Die merken wel op dat de UEFI-rootkit niet goed is gesigneerd. Het inschakelen van Secure Boot, dat vereist dat alle firmware-onderdelen zijn gesigneerd, had de rootkit dan ook gestopt.

Volgens ESET is de rootkit waarschijnlijk ontwikkeld door een groep genaamd Fancy Bear, ook bekend als Pawn Storm, Strontium of APT28. Volgens verschillende securitybedrijven betreft het een groep hackers die vanuit Rusland opereert en mogelijk steun van de Russische overheid krijgt. De groep wordt voor een groot aantal aanvallen verantwoordelijk gehouden.

Image

Reacties (24)
27-09-2018, 12:57 door Anoniem
Dus vanaf nu ook maar de UEFI scannen op malware/aangepaste firmware?
27-09-2018, 13:20 door Anoniem
Door Anoniem: Dus vanaf nu ook maar de UEFI scannen op malware/aangepaste firmware?
Er zijn laptopfabrikanten die nieuwe upates uitgeven, en ja, het lijkt mij verstandig het bestand - voordat je het installeert - door VirusTotal te halen.

Je weet immers maar nooit.
27-09-2018, 13:25 door Anoniem
Door Anoniem: Dus vanaf nu ook maar de UEFI scannen op malware/aangepaste firmware?
of gewoon secureboot en soortgelijke oplossingen gebruiken
27-09-2018, 13:29 door Anoniem
Zo te zien overleeft het wel een herinstallatie van hetzelfde OS maar niet de installatie van een ander OS.
Want dan zijn de benodigde infectiebestanden niet aanwezig in het flashgeheugen.
27-09-2018, 13:52 door Anoniem
Door Anoniem:
Door Anoniem: Dus vanaf nu ook maar de UEFI scannen op malware/aangepaste firmware?
Er zijn laptopfabrikanten die nieuwe upates uitgeven, en ja, het lijkt mij verstandig het bestand - voordat je het installeert - door VirusTotal te halen.

Je weet immers maar nooit.

Detecteert die dan LoJack als een PuP? En kun je dat dan verwijderen? Anders heb je er toch nog niks aan?
27-09-2018, 14:30 door Anoniem
Door Anoniem: Dus vanaf nu ook maar de UEFI scannen op malware/aangepaste firmware?

Is dit mogelijk, denk je?

Er is een reden waarom veel van de "echte" malware vandaag de dag "fileless" is. Er zijn geen bestanden om te scannen.

Je AV software kan deze dus enkel detecteren als deze uitgevoerd wordt en zich verdacht gedraagt, of als deze een bepaalde signature in het RAM heeft.

Helaas ken ik nog geen anti-virus software die malware kan detecteren als deze uitgevoerd wordt op een GPU, HD controller, of eender welke andere niet hoofd-CPU van je systeem...
27-09-2018, 15:12 door Anoniem
Door Anoniem:
Door Anoniem: Dus vanaf nu ook maar de UEFI scannen op malware/aangepaste firmware?
of gewoon secureboot en soortgelijke oplossingen gebruiken
HA HA HA HA Nee.

"Secure boot" is een controlemiddel, geen beveiligingsmiddel. Als de malwaremaker serieus is dan weet'ie ook wel de gaten in UEFI te vinden danwel een bruikbare sleutel om een valide signatuur mee te maken.
27-09-2018, 15:30 door Anoniem
Voorkomen door een wachtwoord op je UEFI te zetten ?
27-09-2018, 15:35 door Anoniem
Wat ik me keer op keer afvraag als ik dit soort berichten lees, WAT KAN ER DAN GEDAAN WORDEN DOOR DE AANVALLER?

Tal van artikelen en nieuws over bios en UEFI rootkits, maar zelfden lees je wat er dan door de aanvaller gedaan kan worden. We lezen altijd alleen dat de rootkit het overleeft en hoe het op de pc kan komen, maar wat een rootkit vanuit de UEFI kan doen hoor ik nooit iemand over.

Kan iemand wat dingen noemen gezien de vele UEFI beperkingen? Kan de nieuwe harde schijf worden uitgelezen? Kunnen er keys worden gedwonload en worden verzonden? Waarom lees ik nooit antwoord op zulke vragen?
27-09-2018, 15:52 door Anoniem
Wellicht niet helemaal het antwoord op je vraag, maar kijk eens naar Palo Alto Traps... (shameless reclame) ik ben in ieder geval zeer enthousiast als eindgebruiker !
27-09-2018, 16:27 door Anoniem
Door Anoniem: Wat ik me keer op keer afvraag als ik dit soort berichten lees, WAT KAN ER DAN GEDAAN WORDEN DOOR DE AANVALLER?

Tal van artikelen en nieuws over bios en UEFI rootkits, maar zelfden lees je wat er dan door de aanvaller gedaan kan worden. We lezen altijd alleen dat de rootkit het overleeft en hoe het op de pc kan komen, maar wat een rootkit vanuit de UEFI kan doen hoor ik nooit iemand over.

Kan iemand wat dingen noemen gezien de vele UEFI beperkingen? Kan de nieuwe harde schijf worden uitgelezen? Kunnen er keys worden gedwonload en worden verzonden? Waarom lees ik nooit antwoord op zulke vragen?

Als je een klein OS kan starten voor je Windows opstart is de sky de limit.
De reden dat de mogelijkheden nooit expliciet genoemd worden is omdat dit afhankelijk is van de functionaliteit van de payload. Waar het feitelijk op neerkomt is dat mallware makers code willen uitvoeren onder de hoogste privilege om zo volledige toegang tot het systeem te krijgen.
27-09-2018, 16:51 door Anoniem
Helaas ken ik nog geen anti-virus software die malware kan detecteren als deze uitgevoerd wordt op een GPU, HD controller, of eender welke andere niet hoofd-CPU van je systeem...
GPU lijkt me niet nodig, aangezien deze ook gewoon gebruik maakt van (al dan niet dedicated) (G)DDR geheugen. Op die plek kan malware worden gespot, net als in het systeem RAM. De HDD controller is een lastige, aangezien je daar alleen naar kan schrijven; lezen is niet mogelijk, dus scannen op malware is inherent onmogelijk. Wellicht is het mogelijk om de aanwezigheid van malware te detecteren (verwachte files of operaties gebeuren niet terwijl deze wel werden verwacht), maar als dat het geval is, dan is de enige oplossing het vervangen van de HDD. Flashen van de firmware geeft geen zekerheid, aangezien de malware inkomende data met gemak kan droppen terwijl een OK wordt geretourneerd.
Wellicht niet helemaal het antwoord op je vraag, maar kijk eens naar Palo Alto Traps... (shameless reclame) ik ben in ieder geval zeer enthousiast als eindgebruiker !
Zover ik weet draait Traps binnen het OS en doet deze niks met scanning van de UEFI. Hooguit kan deze de initiële infectievector spotten en tegenhouden, maar meer ook niet. Het is en blijft lastig wanneer de host zelf gecompromitteerd is.
27-09-2018, 17:22 door Anoniem
Door Anoniem: Wat ik me keer op keer afvraag als ik dit soort berichten lees, WAT KAN ER DAN GEDAAN WORDEN DOOR DE AANVALLER?
Met een dergelijke rootkit kun je functionaliteit aan het operating system toevoegen zonder dat dit door een virusscanner
gedetecteerd kan worden. Wat die functionaliteit dan is dat weet je niet, kan vanalles zijn van het doorsturen van al
je toetsaanslagen naar de aanvaller tot het meekijken en doorsturen van al je encrypted data, minen van cryptomunten
of wat je maar wilt.
Het cruciale is echter dat als het goed gemaakt is, het niet gedetecteerd kan worden met software die je installeert.
27-09-2018, 17:35 door Anoniem
Dus dit is eigenlijk wat Lenovo ook deed met hun laptops.
27-09-2018, 19:09 door Anoniem
Wellicht is het mogelijk om de aanwezigheid van malware te detecteren (verwachte files of operaties gebeuren niet terwijl deze wel werden verwacht), maar als dat het geval is, dan is de enige oplossing het vervangen van de HDD.
Waarom niet low level formatteren, hoef je geen nieuwe HD te kopen.
27-09-2018, 22:54 door Anoniem
Door Anoniem:
Wellicht is het mogelijk om de aanwezigheid van malware te detecteren (verwachte files of operaties gebeuren niet terwijl deze wel werden verwacht), maar als dat het geval is, dan is de enige oplossing het vervangen van de HDD.
Waarom niet low level formatteren, hoef je geen nieuwe HD te kopen.
Als malware op je HDD-controller zit, kan die malware ook het low-level-format commando afvangen/beinvloeden.... daarom...
28-09-2018, 08:20 door Anoniem
Door Anoniem:
Door Anoniem:
Wellicht is het mogelijk om de aanwezigheid van malware te detecteren (verwachte files of operaties gebeuren niet terwijl deze wel werden verwacht), maar als dat het geval is, dan is de enige oplossing het vervangen van de HDD.
Waarom niet low level formatteren, hoef je geen nieuwe HD te kopen.
Als malware op je HDD-controller zit, kan die malware ook het low-level-format commando afvangen/beinvloeden.... daarom...
Dit is niet wat ik bedoel, ik bedoel waarom een nieuwe HD kopen als je met een low level format je HD kunt redden.
Een low level format kan ook op een andere PC.
Een nieuwe HD lost het probleem niet op, maar kost je alleen maar geld.
28-09-2018, 08:44 door Anoniem
M.a.w. die pc met deze rootkit kan in zijn geheel naar het grofvuil. Maar hoe ontdek je deze uefi rootkit en hoe voorkom je besmetting van je pc met deze soort rootkit? Het valt mij op dat steeds meer malware en spyware gewoon de antivirus en anti-spyware weet te ontwijken door deze te foppen en door lekken in besturingsysteem en zelfs in de hardware naar binnen te komen zonder dat de pc beveiliging het ontdekt.
28-09-2018, 09:40 door Anoniem
Terug gaan naar vroeger toen moest je een rom kopen als je een bios update wilde.
Waarom geen simpel OS maken en daar mee internetten, hoe ze nu bezig zijn blijft dweilen met de kraan open.
28-09-2018, 10:17 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Wellicht is het mogelijk om de aanwezigheid van malware te detecteren (verwachte files of operaties gebeuren niet terwijl deze wel werden verwacht), maar als dat het geval is, dan is de enige oplossing het vervangen van de HDD.
Waarom niet low level formatteren, hoef je geen nieuwe HD te kopen.
Als malware op je HDD-controller zit, kan die malware ook het low-level-format commando afvangen/beinvloeden.... daarom...
Dit is niet wat ik bedoel, ik bedoel waarom een nieuwe HD kopen als je met een low level format je HD kunt redden.
Een low level format kan ook op een andere PC.
Een nieuwe HD lost het probleem niet op, maar kost je alleen maar geld.

Dan heb je het niet begrepen: de HDD controller zit tegenwoordig op de HDD zelf. Dus als je commando's stuurt naar
de HDD worden die door de controller bekeken en uitgevoerd, of niet uitgevoerd als er aangepaste firmware op zit.

Maar zoals al eerder gesteld, dit soort "aanvallen" is vooral theoretisch en is altijd gericht op 1 bepaald OS.
Dus het is voldoende om een ander OS te installeren. Dan is de malware wellicht nog aanwezig in de HDD of
BIOS/UEFI, maar de payload werkt niet op het nieuwe OS dus is het niet meer effectief.
28-09-2018, 12:04 door Anoniem
Dan heb je het niet begrepen: de HDD controller zit tegenwoordig op de HDD zelf. Dus als je commando's stuurt naar
de HDD worden die door de controller bekeken en uitgevoerd, of niet uitgevoerd als er aangepaste firmware op zit.
Je hebt gelijk.
29-09-2018, 14:41 door Anoniem
Vroegâh hadden we CMOS: knoopcel eruit, knoopcel erin, ja zo gaat-ie goed.
Misschien nog ff coffigurrere en klaar.
01-10-2018, 12:54 door RuudU
In dit zinnetje zit het venijn: "maar volgens onderzoekers van ESET zijn UEFI-rootkits nooit eerder bij een daadwerkelijke aanval waargenomen".

Nee, maar het KON en dus ZOU het ooit gebeuren. Bingo! Dit is echt onvoorstelbaar

Al vele jaren geleden (U)EFI was nog niet uitgevonden, waarschuwde ik voor een faciliteit in nieuwe motherboards, die ik toen geen faciliteit maar imbeciliteit noemde: om een nieuwe BIOS te flashen hoefde je voortaan niet meer het systeem open te schroeven, en een brugje op het MB te verzetten.

Alleen dat sluit uit dat dit soort malware bedacht kan worden.
28-10-2018, 08:49 door Anoniem
Time to ask your suppliers about NIST 800- 147.
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-147.pdf
Or even better NIST 800-193 which deals about the Platform Firmware Resiliency Guidelines
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.