Neue TrickBot-Variante macht sich am BIOS zu schaffen

Die Hintermänner der Malware TrickBot haben einen neue Funktion für ihre Schadsoftware entwickelt. Sie könnte es ihnen erlauben, mit dem BIOS oder der UEFI-Firmware eines infizierten Computers zu interagieren. Erstmals entdeckt wurde die neue Funktion Ende Oktober in einem neuen TrickBot-Modul.

Das Modul wiederum wurde von den Sicherheitsanbietern Advanced Intelligence und Eclypsium analysiert. Es könnte benutzt werden, um die Malware dauerhaft auf einem Computer einzurichten, sodass sie sogar eine Neuinstallation des Betriebssystems übersteht.

Die Forscher warnen aber auch, dass ein erfolgreicher Eingriff in BIOS oder UEFI-Firmware ein Gerät lahmlegen könnte. Auch sei es möglich, Sicherheitsvorkehrungen wie BitLocker, Credential Guard, ELAM oder Windows 10 Virtual Secure Mode auszuhebeln. Die Kontrolle über BIOS und UEFI könnte aber auch den Weg für weitere Angriffe ebnen, indem die Hacker beispielsweise Microcode-Update rückgängig machen, die CPU-Sicherheitslücken wie Spectre schließen.

Bisher ist den Forschern zufolge ein erfolgreicher Eingriff in BIOS oder UEFI-Firmware nicht möglich. Das neue Modul prüfe lediglich den SPI-Controller, um herauszufinden, ob der Schreibschutz für das BIOS aktiv ist oder nicht. Veränderungen an der Gerätesoftware konnten die Forscher indes noch nicht nachweisen. „Allerdings verfügt die Malware bereits über den Code, um Firmware zu lesen, zu schreiben und zu löschen“, ergänzten sie.

Die Forscher gehen davon aus, dass die Hintermänner von TrickBot die derzeit noch fehlende Funktionalität nachrüsten werden. Sie würde ihnen die Möglichkeit geben, sich dauerhaft in bestimmte Netzwerke einzunisten, um den Zugang beispielsweise für Cryptomining und anschließend auch noch Angriffe mit Ransomware bereitzustellen. Interneterpresse bekämen indes ein weiteres Druckmittel: Sie könnten nicht nur verschlüsselte und gestohlene Daten in die Waagschale werfen, sondern auch noch mit der Zerstörung von Hardware drohen.

Den Sicherheitsanbietern zufolge ist TrickBot zudem die erste Schadsoftware, die ausschließlich finanzielle Ziele verfolgt, die auch in BIOS und UEFI-Firmware eingreifen kann. Diese Funktion sei zuvor nur bei staatlich gesponserter Schadsoftware beobachtet worden. Eclypsium weist in dem Zusammenhang darauf hin, dass die Hintermänner von TrickBot den benötigten Code nicht selbst entwickelt haben. Stattdessen sollen zu auf einen Treiber namens RwDrv.sys zurückgreifen, der zu einem RWEverything genannten Tool gehört.

Die neue Funktion könnte zudem eine Reaktion auf Versuche von US-Behörden sein, in Zusammenarbeit mit Microsoft die TrickBot-Operation abzuschalten. Nach dem gescheiterten Versuch hätten die Hintermänner zahlreiche neue Funktionen hinzugefügt, darunter eine neue Befehlsserver-Infrastruktur und neue Techniken zur Code-Verschleierung.