{"id":270944,"date":"2022-07-26T14:45:23","date_gmt":"2022-07-26T12:45:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=270944"},"modified":"2022-07-29T12:50:07","modified_gmt":"2022-07-29T10:50:07","slug":"asus-gigabyte-mainboards-cosmicstrand-rootkit-in-uefi-firmware-gefunden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/07\/26\/asus-gigabyte-mainboards-cosmicstrand-rootkit-in-uefi-firmware-gefunden\/","title":{"rendered":"ASUS\/Gigabyte Mainboards: CosmicStrand Rootkit in UEFI-Firmware gefunden"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsforscher von Kaspersky sind einer Malware auf die Spur gekommen, die in der UEFI-Firmware diverser Mainboards von ASUS und Gigabyte versteckt war. Die chinesische Malware, CosmicStrand, soll sich bereits mindestens seit 2016 unentdeckt im UEFI der betroffenen Mainboards befunden haben.<\/p>\n

<\/p>\n

\"\"Rootkits sind Schadprogramme, die auf niedere Ebene, m\u00f6glichst vor dem Start des Betriebssystems, geladen werden und die Kontrolle \u00fcber das System \u00fcbernehmen. Deren Erstellung ist mit erheblichen technischen Herausforderungen verbunden, und der kleinste Programmierfehler kann den Computer des Opfers vollst\u00e4ndig zum Absturz bringen. Aber es gibt Entwickler, die solche Techniken beherrschen und auch erfolgreich sind, diese Rootkits auf Systemen auszuliefern. Der Vorteil eines Rootkits: Dieser bleibt auch bei einer Neuinstallation des Betriebssystems auf dem System erhalten.<\/p>\n

Kaspersky hat im Blog-Beitrag CosmicStrand: the discovery of a sophisticated UEFI firmware rootkit<\/a> vom 25. Juli 2022 einen solchen Fund vorgestellt. Das Rootkit wird als CosmicStrand bezeichnet und ist einem unbekannten chinesischsprachigen Bedrohungsakteur zuschreiben. Qihoo360, ver\u00f6ffentlichte 2017 einen Blogbeitrag<\/a> (chinessich) \u00fcber eine fr\u00fche Variante dieser Malware-Familie.<\/p>\n

Gigabyte- oder ASUS-Hauptplatinen betroffen<\/h2>\n

Die Sicherheitsforscher konnten nicht herausfinden, wie die UEFI-Firmware der Systeme urspr\u00fcnglich infiziert wurde. Es gab Hinweise, dass ein Fall durch den Kauf eines gebrauchten Mainboards zur\u00fcckzuf\u00fchren ist, welches m\u00f6glicherweise bereits infiziert war. Die Sicherheitsforscher haben verschiedenen Firmware-Images erhalten und vermuten, dass die \u00c4nderungen am UEFI m\u00f6glicherweise mit einem automatischen Patcher durchgef\u00fchrt wurden. Dies w\u00fcrde den Zugriff auf den Computer des Opfers durch den Angreifer bedingen. Allerdings bleibt dies alles im Dunklen.<\/p>\n

Die Analyse der Sicherheitsforscher gibt aber Hinweise auf die Ger\u00e4te, die durch CosmicStrand infiziert werden k\u00f6nnen. Das Rootkit befindet sich in den Firmware-Images von Gigabyte- oder ASUS-Hauptplatinen. Dabei haben die Kaspersky-Sicherheitsforscher festgestellt, dass sich alle Infektionen auf Designs beziehen, die den H81-Chipsatz verwenden. Dies deutet darauf hin, dass es eine gemeinsame Schwachstelle gibt, die es den Angreifern erm\u00f6glicht, ihr Rootkit in das Firmware-Image einzuschleusen.<\/p>\n

In diesen infizierten Firmware-Images wurden \u00c4nderungen am CSMCORE-DXE-Treiber vorgenommen, dessen Einstiegspunkt so gepatcht wurde, dass er auf Code umleitet, der in der .reloc-Sektion hinzugef\u00fcgt wurde. Dieser Code, der beim Systemstart ausgef\u00fchrt wird, l\u00f6st eine lange Ausf\u00fchrungskette aus, die zum Download und zur Bereitstellung einer b\u00f6sartigen Komponente in Windows f\u00fchrt.<\/p>\n

\"CosmicStrand<\/p>\n

Kette der Rootkit-Loader, Quelle: Kaspersky<\/p>\n

Das Ziel der oben skizzierten Ausf\u00fchrungskette ist es, ein Implantat auf Kernel-Ebene in ein Windows-System einzubringen. Dieses soll bei jedem Start \u00fcber die infizierte UEFI-Komponente geladen werden. Die Autoren der UEFI-Malware haben die anspruchsvolle technische Aufgabe gemeistert, die infizierte Komponente vor dem Start von Windows zu laden und dann den Bootvorgang des Betriebssystems zu \u00fcberstehen.<\/p>\n