Neue TrickBot-Variante macht sich am BIOS zu schaffen

Derzeit liest TrickBot nur den Schreibschutzstatus des BIOS aus. Die Malware verfügt aber bereits über Code, um auch UEFI-Firmware zu schreiben und zu löschen. Die neue Funktion ist möglicherweise eine Reaktion auf gescheiterte Versuche von Behörden, die TrickBot-Operation abzuschalten.

Die Hintermänner der Malware TrickBot haben einen neue Funktion für ihre Schadsoftware entwickelt. Sie könnte es ihnen erlauben, mit dem BIOS oder der UEFI-Firmware eines infizierten Computers zu interagieren. Erstmals entdeckt wurde die neue Funktion Ende Oktober in einem neuen TrickBot-Modul.

Malware (Bild: Shutterstock/Blue Island)Das Modul wiederum wurde von den Sicherheitsanbietern Advanced Intelligence und Eclypsium analysiert. Es könnte benutzt werden, um die Malware dauerhaft auf einem Computer einzurichten, sodass sie sogar eine Neuinstallation des Betriebssystems übersteht.

Die Forscher warnen aber auch, dass ein erfolgreicher Eingriff in BIOS oder UEFI-Firmware ein Gerät lahmlegen könnte. Auch sei es möglich, Sicherheitsvorkehrungen wie BitLocker, Credential Guard, ELAM oder Windows 10 Virtual Secure Mode auszuhebeln. Die Kontrolle über BIOS und UEFI könnte aber auch den Weg für weitere Angriffe ebnen, indem die Hacker beispielsweise Microcode-Update rückgängig machen, die CPU-Sicherheitslücken wie Spectre schließen.

Bisher ist den Forschern zufolge ein erfolgreicher Eingriff in BIOS oder UEFI-Firmware nicht möglich. Das neue Modul prüfe lediglich den SPI-Controller, um herauszufinden, ob der Schreibschutz für das BIOS aktiv ist oder nicht. Veränderungen an der Gerätesoftware konnten die Forscher indes noch nicht nachweisen. „Allerdings verfügt die Malware bereits über den Code, um Firmware zu lesen, zu schreiben und zu löschen“, ergänzten sie.

Die Forscher gehen davon aus, dass die Hintermänner von TrickBot die derzeit noch fehlende Funktionalität nachrüsten werden. Sie würde ihnen die Möglichkeit geben, sich dauerhaft in bestimmte Netzwerke einzunisten, um den Zugang beispielsweise für Cryptomining und anschließend auch noch Angriffe mit Ransomware bereitzustellen. Interneterpresse bekämen indes ein weiteres Druckmittel: Sie könnten nicht nur verschlüsselte und gestohlene Daten in die Waagschale werfen, sondern auch noch mit der Zerstörung von Hardware drohen.

Den Sicherheitsanbietern zufolge ist TrickBot zudem die erste Schadsoftware, die ausschließlich finanzielle Ziele verfolgt, die auch in BIOS und UEFI-Firmware eingreifen kann. Diese Funktion sei zuvor nur bei staatlich gesponserter Schadsoftware beobachtet worden. Eclypsium weist in dem Zusammenhang darauf hin, dass die Hintermänner von TrickBot den benötigten Code nicht selbst entwickelt haben. Stattdessen sollen zu auf einen Treiber namens RwDrv.sys zurückgreifen, der zu einem RWEverything genannten Tool gehört.

Die neue Funktion könnte zudem eine Reaktion auf Versuche von US-Behörden sein, in Zusammenarbeit mit Microsoft die TrickBot-Operation abzuschalten. Nach dem gescheiterten Versuch hätten die Hintermänner zahlreiche neue Funktionen hinzugefügt, darunter eine neue Befehlsserver-Infrastruktur und neue Techniken zur Code-Verschleierung.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Themenseiten: Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Neue TrickBot-Variante macht sich am BIOS zu schaffen

Kommentar hinzufügen
  • Am 4. Dezember 2020 um 17:36 von C

    (Mechanischen) BIOS-Schalter auf dem Mainboard installieren – und schon hat man physische Kontrolle, wer das BIOS überschreiben darf.
    Ist ein Cent-Artikel, statt teurer und unnützer TPM-Implementierungen.

    Sollte das Gerät mal unkontrolliert bei den Federales landen, so empfiehlt sich eine Total-Renovierung – nach vorheriger, genauer HW-Kontrolle. Sämtliche Firmware neu aufspielen (BIOS, RAID, ETH, Disk/SSD, GPU, etc.), Disk/SSD löschen und das letzte Disk-Image und Daten-Image wieder zurück holen. Sollte passen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *