{"id":236318,"date":"2020-10-06T09:15:12","date_gmt":"2020-10-06T07:15:12","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=236318"},"modified":"2020-10-06T15:35:06","modified_gmt":"2020-10-06T13:35:06","slug":"mosaicregressor-wenn-malware-im-uefi-kommt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/10\/06\/mosaicregressor-wenn-malware-im-uefi-kommt\/","title":{"rendered":"MosaicRegressor: Wenn Malware im UEFI kommt"},"content":{"rendered":"

[English<\/a>]Sicherheitsforscher von Kaspersky sind bei Kunden auf Schadfunktionen gesto\u00dfen, die im UEFI des Mainboard von Ger\u00e4ten installiert war. Die Schadfunktionen waren Teil eines gr\u00f6\u00dferen Framework f\u00fcr Malware, die Kaspersky MosaicRegressor<\/em> getauft hat.<\/p>\n

<\/p>\n

Kurzinfo UEFI\/BIOS<\/h2>\n

\"\"UEFI<\/a> (oder Unified Extensible Firmware Interface) ersetzt auf modernen Hauptplatinen das in die Jahre gekommene BIOS<\/a> (Basic Input Output System). Das UEFI ist letztendlich eine Spezifikation, die die Struktur und den Betrieb von Low-Level-Plattformfirmware festlegt und Funktionen bereitstellt, so dass das Betriebssystem in verschiedenen Phasen seiner Aktivit\u00e4t mit der Hardware interagieren kann. UEFI-Funktionen werden verwendet, um die Boot-Sequenz des Systems auszuf\u00fchren und das Betriebssystem zu laden. Durch diese zentrale Funktion ist das UEFI zur Zielscheibe von Cyber-Kriminellen geworden. Denn eine Infektion des UEFI \u00fcbersteht auch die Neuinstallation des Betriebssystems und wird von den \u00fcblichen Sicherheitstools nicht gefunden.<\/p>\n

Ein Leak vor 5 Jahren<\/h2>\n

Im Jahr 2015 gab es ein Leck des Hacking-Teams, bei dem der Quellcode eines UEFI-Bootkits namens VectorEDK in den geleakten Dateien gefunden wurde. Dieser Code bestand aus einer Reihe von UEFI-Modulen, die in die Plattformfirmware integriert werden konnten. Ziel war es, eine Hintert\u00fcr zum System einzurichten, die beim Laden des Betriebssystems ge\u00f6ffnet wird und so den Akteuren den Zugriff erm\u00f6glicht. Trotz der Tatsache, dass der Code von VectorEDK ver\u00f6ffentlicht wurde und auf Github<\/a> zu finden ist, hatte Kaspersky bis zum aktuellen Fund keine konkreten Beweise daf\u00fcr, dass so etwas\u00a0 in der freien Wildbahn auftaucht.<\/p>\n

Allerdings gab es in den letzten Jahren in mehreren F\u00e4llen Angriffe auf das UEFI.\u00a0 ESET entdeckte im Jahr 2018<\/a> das LowJax-Rootkit. Dort wurden gepatchte UEFI-Module der Anti-Diebstahl-Software LoJack (auch bekannt als Computrace) verwendet, um einen b\u00f6sartigen User-Mode-Agenten in einer Reihe von Maschinen diverser Sofacy \\ Fancy Bear-Opfer einzuschleusen Die Gefahren von Computrace wurden von Sicherheitsspezialisten von Global Research and Analysis Team (GReAT) bereits 2014 beschrieben<\/a>.<\/p>\n

Entdeckung von MosaicRegressor<\/h2>\n

W\u00e4hrend einer Untersuchung diverser Maschinen stie\u00dfen die Sicherheitsforscher auf mehrere verd\u00e4chtige UEFI-Firmware-Images, die sie dann genauer untersuchten. Die Analyse ergab, dass die modifizierten UEFI-Firmware-Images vier Komponenten enthielten, die in ihren zugewiesenen GUID-Werten \u00c4hnlichkeiten aufwiesen. Es handelte sich um zwei DXE-Treiber und zwei UEFI-Anwendungen. Nach weiterer Analyse stellten die Kaspersky-Sicherheitsforscher fest, dass es sich um geringf\u00fcgig modifizierte Varianten der betreffenden Elemente auf dem Quellcode des VectorEDK-Bootkits von HackingTeam basierten.<\/p>\n

Das Ziel dieser hinzugef\u00fcgten UEFI-Module ist es, eine Infektionskette beim Booten der Maschine auszuf\u00fchren, die eine b\u00f6sartige ausf\u00fchrbare Datei namens \"IntelUpdate.exe\" in den Windows Startup-Ordner des Opfers speichert. Wird Windows dann vom Opfer gestartet, f\u00fchrt es automatisch die Malware aus. Durch den Ansatz \u00fcbersteht die Malware-Infektion jeglichen Versuch, die in Windows injizierten Malware-Komponenten von der Festplatte zu entfernen. Denn die UEFI-Infektion sorgt beim n\u00e4chsten Booten daf\u00fcr, dass die Malware erneut in Windows injiziert wird. Einige L\u00f6sung ist es, die infizierte UEFI-Firmware zu entfernen.<\/p>\n

MosaicRegressor ist ein mehrstufiges und modulares Framework an Malware, das auf Spionage und Datensammlung abzielt. Es besteht aus Downloadern und mehreren Zwischenladern, die Nutzlast auf den Rechnern der Opfer abrufen und ausf\u00fchren sollen. Da das Framework aus mehreren Modulen besteht, hilft dies den Angreifern, das gesamte Framework vor der Analyse zu verbergen und Komponenten nur bei Bedarf auf den Zielmaschinen einzusetzen. Die Sicherheitsforscher konnten w\u00e4hrend der Untersuchung nur eine Handvoll Nutzlastkomponenten identifizieren, die auf die Opfermaschinen geladen wurden. In der Malware waren Mail-Adressen einer russischen Domain fest codiert.<\/p>\n

Wer sind die Opfer<\/h2>\n

Die Kaspersky-Telemetrie (die wohl \u00fcber Kaspersky Sicherheitssoftware Teile der Infektionskette erkannte und meldete) legt nahe, dass es mehrere Dutzend Opfer gab. Diesen wurden zwischen 2017 und 2019 Komponenten aus dem MosaicRegressor-Framework auf die Rechner injiziert. Als Opfer nennt Kaspersky allgemein diplomatische Einrichtungen und NGOs in Afrika, Asien und Europa. Nur zwei von ihnen wurden 2019 auch mit dem UEFI-Bootkit infiziert.<\/p>\n

Auf der Grundlage der Gemeinsamkeiten der entdeckten Opfer konnten die SIcherheitsanalysten feststellen, dass alle eine gewisse Verbindung zur DVRK (Nordkorea) hatten, sei es durch gemeinn\u00fctzige Aktivit\u00e4ten im Zusammenhang mit dem Land oder durch die tats\u00e4chliche Pr\u00e4senz im Land. Dieser Verdacht wird durch einen der Infektionsvektoren, die zur Verbreitung der Malware an einige der Opfer verwendet wurden, verst\u00e4rkt. Es wurden n\u00e4mlich SFX-Archive verschickt, die vorgaben, Dokumente zu enthalten, in denen verschiedene Themen im Zusammenhang mit Nordkorea behandelt wurden. Diese wurden sowohl mit einem eigentlichen Dokument als auch mit MosaicRegressor-Varianten geb\u00fcndelt, die beide beim \u00d6ffnen des Archivs ausgef\u00fchrt wurden.<\/p>\n

Eine weitergehende Analyse legt den Verdacht nahe, dass die Urheber des MosaicRegressor-Framework in China oder in Korea zu finden sind (bestimmte Zeichenketten verweisen auf die in diesen L\u00e4ndern benutzten Zeichens\u00e4tzen f\u00fcr deren Sprachen). Eine umfangreichere Analyse der Module ist in diesem Blog-Beitrag von<\/a> Kaspersky zu finden.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher von Kaspersky sind bei Kunden auf Schadfunktionen gesto\u00dfen, die im UEFI des Mainboard von Ger\u00e4ten installiert war. Die Schadfunktionen waren Teil eines gr\u00f6\u00dferen Framework f\u00fcr Malware, die Kaspersky MosaicRegressor getauft hat.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[1018,4328,1108],"class_list":["post-236318","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-malware","tag-sicherheit","tag-uefi"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236318","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=236318"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236318\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=236318"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=236318"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=236318"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}