Language
Bootkits: Evolutions- und Erkennungsmethoden
HeimHeim > Blog > Bootkits: Evolutions- und Erkennungsmethoden
NEUESTEN NACHRICHTEN

Bootkits: Evolutions- und Erkennungsmethoden

Jun 17, 2023

Cyberkriminelle sind ständig auf der Suche nach neuen Wegen, um mit maximalen Privilegien langfristig im Zielsystem Fuß zu fassen und gleichzeitig einer Erkennung beispielsweise durch Antiviren-Tools zu entgehen. Die meisten Schutztools werden zusammen mit dem Betriebssystem gestartet. Wenn also Malware vor dem Betriebssystem geladen wird, sinkt die Wahrscheinlichkeit einer Erkennung. Ein weiteres Ziel von Malware-Entwicklern besteht darin, nach der Neuinstallation des Betriebssystems die Kontrolle und Berechtigungen zu behalten. Dazu muss die Malware in Low-Level-Software geladen werden – die Geräte-Firmware oder die ersten Sektoren der Festplatte. So entstanden Bootkits.

Ein Bootkit ist bösartiger Code, der ausgeführt wird, bevor das Betriebssystem startet. Das Hauptziel eines Bootkits besteht darin, im System Fuß zu fassen und andere Malware vor der Erkennung durch Sicherheitstools zu schützen.

Real oder konzeptionell?

Bisher ging man davon aus, dass Bootkits hauptsächlich im Proof-of-Concept-Bereich existieren. Ein Proof-of-Concept (PoC) ist ein Nachweis der Ausnutzbarkeit einer Schwachstelle. Form und wird nicht bei echten Angriffen verwendet. Zwischen dem Erscheinen des ersten PoC und dem ersten Bootkit-Angriff lagen jedoch nur zwei Jahre.

Bootkit-PoCs sind für Analysten und Forscher von besonderem Interesse, da sie Aufschluss darüber geben, welche Methoden und Techniken Angreifer wahrscheinlich verwenden und worauf sie achten müssen, um vorbeugenden Schutz zu bieten.

Malware-Entwickler fügen ihren Kreationen jetzt Bootkit-Funktionalität hinzu, darunter Satana, Petya und verschiedene Botnets wie TrickBot. APT-Gruppen sind auch aktive Benutzer von Bootkits, zum Beispiel Careto, Winnti (APT41), FIN1 und APT28.

Bei der Erstellung dieses Berichts haben wir 39 Bootkit-Familien analysiert, sowohl in PoC-Form als auch solche, die bei echten Angriffen von 2005 bis 2021 aufgetreten sind.

Cyberkriminelle nutzen in der Regel gezieltes Phishing per E-Mail, um Schadsoftware in die Infrastruktur einzuschleusen; Auf diese Weise werden beispielsweise die Bootkits Mebromi und Mosaic Regressor vertrieben. Ein weiterer Verbreitungsweg führt über Websites, einschließlich der Drive-by-Compromise-Technik, mit der Ziele mit der Pitou- und Mebroot-Malware infiziert wurden; Cyberkriminelle, die Letzteres verbreiteten, hackten sich in mehr als 1.500 Webressourcen ein und platzierten die Malware dort. Das FispBoot-Bootkit gelangte auf Geräte, die zunächst mit dem Trojaner Trojan-Downloader.NSIS.Agent.jd infiziert waren, den die Opfer unter dem Deckmantel eines Videoclips herunterluden.

Der Unterschied zwischen einem Bootkit und einem Rootkit

Bootkits werden oft mit Rootkits verwechselt. Ein Rootkit ist ein Programm (eine Reihe von Programmen), das das Vorhandensein von Malware im System verschleiert. . Der Hauptunterschied besteht darin, dass Bootkits bereits vor dem Booten des Betriebssystems in Betrieb gehen. Sie haben das gleiche Maß an Kontrolle wie legitime Loader (Master Boot Record (MBR), Volume Boot Record (VBR) oder UEFI) und greifen in den Boot-Prozess des Betriebssystems ein, sodass sie den Boot-Prozess überwachen, ändern und einführen können , zum Beispiel Schadcode, der Sicherheitsmechanismen umgeht. Bootkits schaffen oft die Umgebung für die heimliche Einführung von Rootkits auf Kernel-Ebene.

Der Master Boot Record (MBR) enthält Informationen und Code, die zum ordnungsgemäßen Starten des Geräts erforderlich sind. Es wird in den ersten Sektoren der Festplatte gespeichert. Der Volume Boot Record (VBR) oder Initial Program Loader (IPL) lädt die zum Booten des Betriebssystems erforderlichen Daten. Es wird im ersten Sektor einer Partition auf der Festplatte gespeichert.

Bootkit-Funktionen

Am häufigsten verfügen Bootkits über die folgenden Funktionen:

Einige Bootkits ermöglichen es Angreifern, die Authentifizierung zu umgehen; Die PoCs der Bootkits Vbootkit x64 und DreamBoot verfügen beispielsweise über diese Fähigkeit.

Bootkits als Werkzeuge für gezielte Angriffe

Das Entwickeln eines eigenen Bootkits ist für einen Angreifer keine triviale Aufgabe, im wirklichen Leben sind Bootkits jedoch weit verbreitet. Beispielsweise nutzten Angreifer, die Diplomaten und Mitglieder von Nichtregierungsorganisationen aus Afrika, Asien und Europa ausspionierten, das Bootkit „Mosaic Regressor“, um in den Zielsystemen Fuß zu fassen. Nachdem sie einen Angriff mit einem anderen hochmodernen Bootkit, MoonBounce, analysiert hatten, waren die Forscher erstaunt über die umfassenden Kenntnisse der Angreifer über die IT-Infrastruktur des Opfers. Sie stellten fest, dass die Angreifer die Firmware des Geräts gründlich untersucht hatten, was darauf hindeutet, dass es sich um einen sehr gezielten Angriff handelte.

Allerdings nutzen Cyberkriminelle Bootkits nicht nur bei gezielten Angriffen, sondern auch bei Massenangriffen. Beispielsweise wurde das Rovnix-Bootkit im Rahmen einer Phishing-Kampagne verbreitet, bei der Informationen über eine neue Coronavirus-Initiative der Weltbank als Köder dienten. Der Zweck der Kampagne scheint Cyberspionage gewesen zu sein, da anschließend Malware zur Fernsteuerung und Spyware auf den Geräten der Opfer installiert wurde. Das Adushka-Bootkit ist dafür bekannt, dass es auf normale Benutzer abzielt und für Spionagezwecke, einschließlich Datendiebstahl von Online-Gaming-Konten, eingesetzt wird.

Ein weiteres Bootkit, das bei Massenangriffen eingesetzt wird, ist Oldboot. Der Schwerpunkt lag auf Android-Geräten. Die Angreifer infizierten mehr als 350.000 Mobilgeräte. Beim ersten Einschalten des Geräts wurde der Bootpartition des Dateisystems hinzugefügter Schadcode gestartet. Das Bootkit schuf die Umgebung für die Einführung eines Loaders und einer Spyware, die Textnachrichten sammelte und löschte. Um eine Infektion zu vermeiden, raten Forscher davon ab, Geräte in nicht vertrauenswürdigen Geschäften zu kaufen und Firmware von dubiosen Quellen herunterzuladen.

Bei echten Angriffen kommen 27 Bootkit-Familien zum Einsatz

14 davon werden von APT-Gruppen genutzt

Mittlerweile gehören Bootkits immer häufiger zum Werkzeugkasten von Angreifern. Und die regelmäßige Entdeckung von Schwachstellen in der Firmware trägt zu diesem Trend bei. Für UEFI beispielsweise erschienen allein im Jahr 2021 14 Einträge in der National Vulnerability Database (NVD). Die Lebendigkeit von Bootkits wird auch durch das Aufkommen neuer Funktionen für kommerzielle Malware unterstrichen: Im Jahr 2021 haben die Entwickler der FinSpy-Spyware ihre Kreation mit Bootkit-Funktionen aktualisiert.

Bootkit-Erkennung und -Entfernung

Die Bootkit-Erkennung ist möglich, wenn sie durchgeführt wird, bevor sie in die Firmware oder die ersten Partitionen der Festplatte eingebettet wird. Es ist nicht einfach festzustellen, ob ein System mit einem Bootkit infiziert ist. Selbst wenn es möglich wäre, wird das Opfer noch größere Schwierigkeiten haben, es zu entfernen. Wenn das Bootkit in die ersten Partitionen der Festplatte (MBR, VBR oder, im Fall eines UEFI-basierten Geräts, EFI-Systempartition) eingeführt wurde, wird eine vollständige Neuinstallation des Betriebssystems den Schadcode vom Laufwerk entfernen. Eine Neuinstallation des Betriebssystems wirkt sich jedoch nicht auf den Chipspeicher aus, auf dem sich die BIOS- oder UEFI-Firmware befindet. Wenn also die Firmware geändert wird, kann das neue Betriebssystem immer noch infiziert sein.

Sie können auch feststellen, welches bestimmte Bootkit das System infiziert hat, und nach Dienstprogrammen von Antiviren-Anbietern suchen, um das System von bösartigem Code zu befreien.

In den frühen 1980er Jahren tauchten die ersten Vorläufer von Bootkits in Form von Viren auf, die den Bootsektor der Festplatte infizierten, sogenannte Bootsektorinfektoren. Nachdem sich diese Schadprogramme im System etabliert hatten, versuchten sie, sich auf andere Geräte auszubreiten und alle angeschlossenen Wechseldatenträger zu infizieren. Die bekanntesten Beispiele dieser Art von Malware sind Elk Cloner, einer der ersten Viren, der es auf Apple-Computer abgesehen hat, und Brain, der die erste Computerepidemie auslöste und Softwareentwickler dazu veranlasste, das erste Antivirenprogramm zu entwickeln. Ein weiterer bekannter Bootsektor-Infizierer war der Stoned-Virus, der 1987 auftauchte. Sein Quellcode bildete die Grundlage vieler Malware-Programme, die den Bootsektor infizieren, wie Michelangelo, AntiExe und Angelina. Letzteres wurde 2007 auf in Deutschland und Dänemark verkauften Medion-Laptops entdeckt. Das vorinstallierte Antivirenprogramm Bullguard konnte die Infektion nur erkennen, das System jedoch nicht bereinigen.

Vollwertige Bootkits erschienen Anfang der 2000er Jahre und waren BIOS-orientiert. Einer der ersten Bootkit-PoCs war eEye BootRoot.

Im Rahmen unserer Studie haben wir sowohl PoC-Bootkits als auch reale Bootkits berücksichtigt, die in freier Wildbahn gefunden wurden. PoC-Bootkits machten 31 % unserer Stichprobe aus, In-the-Wild-Bootkits 69 %.

Bootkit-Malware für Angriffe auf BIOS-basierte Geräte kann direkt in den MBR, VBR oder IPL eingeschleust werden. Ein Bootkit kann auch in die Firmware selbst eingebettet werden, was in der Praxis jedoch schwierig ist.

Von den von uns analysierten Bootkits waren 76 % für das BIOS konzipiert. Der Anteil davon, der nur den MBR betraf, betrug 80 %. Weitere 10 % werden in den VBR oder IPL injiziert und die restlichen 10 % unterstützen alle oben genannten Infiltrationsmethoden.

Bootkits für BIOS-Angriffe können alle Systemkomponenten gefährden, einschließlich des Betriebssystem-Loaders, des Hypervisors und der Sicherheitstools. Intel hat die BIOS-Unterstützung bereits im Jahr 2020 eingestellt, aber einige Unternehmen können ihre IT-Infrastruktur nicht schnell aktualisieren, weshalb BIOS-Infektions-Bootkits immer noch aktiv sind.

Warum nicht alle das BIOS aufgegeben haben Einige Unternehmen haben Schwierigkeiten, ihre IT-Infrastruktur zu aktualisieren. In Russland sind unserer Einschätzung nach vor allem staatliche Institutionen und Industrieunternehmen mit diesem Problem konfrontiert. Bei virtuellen Infrastrukturen ist das Problem nicht weniger akut, da selbst Hypervisor-Anbieter die Verwendung des BIOS als Standard-Firmware empfehlen. Unserer Ansicht nach liegt dies daran, dass BIOS-basierte virtuelle Maschinen einfacher zu warten und zu unterstützen sind.

Im Jahr 2009 erschien eine neue Version des Stoned-Virus, die ein vollwertiges Bootkit-PoC darstellte. Ein Merkmal dieser Version war, dass der Virus das System auch dann infizierte, wenn die Festplatte oder eine Partition mit TrueCrypt verschlüsselt war. Damit wurde der Mythos widerlegt, dass die Laufwerksverschlüsselung vor Malware-Infektionen schützt. Stoned bewies das Gegenteil. Die Schadsoftware gelangte in den MBR, der auch bei Laufwerksverschlüsselung immer unverschlüsselt bleibt. Als der Benutzer dann sein Passwort eingab, um das Gerät zu verwenden, fing das Bootkit es ab und verschaffte sich so Zugriff auf alle verschlüsselten Informationen. Dies war der erste eindeutige Fall der Umgehung der Laufwerksverschlüsselung. Ein Jahr später wurde auf Basis von Stoned das Whistler-Bootkit entwickelt und in realen Angriffen eingesetzt. Im Jahr 2011 wurde übrigens auch das erste auf Stoned basierende Bootkit-PoC entwickelt, das sich auf Angriffe auf die UEFI-Firmware konzentrierte.

Das Stoned-Forschungsprojekt erfreute sich so großer Beliebtheit, dass Antiviren-Unternehmen darum baten, den Quellcode für neue Versionen nicht öffentlich zu veröffentlichen.

Nachdem die Gerätehersteller alle Mängel des BIOS untersucht hatten, wechselten sie zum sichereren UEFI. Im Vergleich zum BIOS bietet UEFI eine Reihe wesentlicher Verbesserungen. Was uns jedoch am meisten interessiert, ist das Secure Boot-Protokoll, das die Signaturen von UEFI-Treibern, UEFI-Anwendungen und dem Betriebssystem selbst überprüft. Wenn diese Signaturen mit den Daten im Repository der Signaturen vertrauenswürdiger Anwendungen und Hash-Summen übereinstimmen, werden die UEFI-Anwendungen geladen und die UEFI-Firmware übergibt die Kontrolle an das Betriebssystem. Das Repository dieser Signaturen und Hash-Summen befindet sich selbst im nichtflüchtigen Speicher und wird vom Gerätehersteller bestückt. Weitere Informationen zum Secure Boot-Protokoll finden Sie auf der Website von Microsoft.

Secure Boot wird nur aktiviert, wenn der Eindringling keinen physischen Zugriff auf das Gerät hat; andernfalls können sie Signaturen für ihre eigenen bösartigen Treiber hinzufügen oder ersetzen.

Aufgrund von Secure Boot hätte die Umstellung auf UEFI die Einführung von Bootkits unmöglich machen sollen, doch es kam anders. Es gibt verschiedene Möglichkeiten, die UEFI-Firmware zu infizieren:

Im Allgemeinen können Angreifer bei der Infektion von UEFI-basierten Geräten die im SPI-Flash-Speicher gespeicherte Firmware infiltrieren, Änderungen an einem vorhandenen Modul vornehmen oder ein neues in der EFI-Systempartition erstellen.

Die EFI-Systempartition (ESP) ist eine spezielle versteckte Partition auf der Festplatte von UEFI-basierten Geräten. Diese Partition speichert den Bootmanager. Beim Gerätestart lädt UEFI Dateien (Module) vom ESP, um das Betriebssystem und die installierten Dienstprogramme zu starten.

Nach der Veröffentlichung des ersten Bootkit-PoC für UEFI-Infektionen dauerte es sechs Jahre, bis das erste Bootkit in freier Wildbahn zu sehen war: LoJax im Jahr 2017. Um die Firmware im SPI-Flash zu überschreiben, nutzten die Entwickler dieses Bootkits sowohl Firmware-Schwachstellen als auch Lücken im Secure Boot-Konfiguration. TrickBoot, Teil der TrickBot-Malware, die in den Jahren 2020 und 2021 für Schlagzeilen sorgte, ist ebenfalls UEFI-orientiert.

Seit 2020 zielen alle in freier Wildbahn gefundenen Bootkits auf UEFI ab, insbesondere Mosaic Regressor, TrickBoot, FinSpy, ESPecter und MoonBounce.

Einige Bootkits kombinieren mehrere Techniken, um auf einen Firmware-Typ abzuzielen, indem sie sich beispielsweise sowohl in den MBR als auch in den VBR einbetten. Ein solches Bootkit ist Gapz. Darüber hinaus gibt es vielseitige Bootkits für Angriffe auf BIOS- und UEFI-basierte Geräte, beispielsweise FinSpy und Trickboot.

Laden Sie die Zeitleiste herunter

Cyberkriminelle suchen aktiv nach BIOS- und UEFI-Schwachstellen, die das Einschleusen von Bootkits ermöglichen. Analysten von Binarly haben 23 kritische Schwachstellen im Zusammenhang mit der SMM-Speicherverwaltung in der UEFI-Firmware von InsydeH2O identifiziert, die von großen Hardwareanbietern wie Bull (Atos), Dell, Fujitsu, HP, Intel, Lenovo, Microsoft und Siemens verwendet wird. Durch die Ausnutzung dieser Schwachstellen konnten Angreifer Hardware-Sicherheitsfunktionen deaktivieren und ein Bootkit und Malware zur Fernsteuerung einschleusen. Analysten schätzen, dass die Mängel Millionen von Geräten betroffen haben könnten, von Laptops bis hin zu Servern, Netzwerkgeräten und industriellen Steuerungssystemen (ICS).

Auf der Black Hat Asia 2017-Konferenz demonstrierten Experten von Cylance, wie zwei Schwachstellen (CVE-2017-3197 und CVE-2017-3198) in der Gigabyte UEFI-Firmware zum Einschleusen von Malware genutzt werden können. Bei beiden Schwachstellen handelt es sich um Konstruktionsfehler von Komponenten. Das erste hängt mit der fehlerhaften Implementierung des Schreibschutzes zusammen, das zweite mit der fehlenden Überprüfung der Komponentensignatur.

Auch die BIOS-Firmware weist Schwachstellen auf. Ende März 2022 riet Dell seinen Kunden beispielsweise, das BIOS auf Computern der Serien Alienware, Inspiron, Vostro und Edge Gateway 3000 unverzüglich zu aktualisieren. Diese Modelle waren Schwachstellen ausgesetzt, die es einem Remote-Angreifer ermöglichten, die Authentifizierung zu umgehen und einen System Management Interrupt (SMI) zu verwenden, um bei der Verarbeitung von Systemfunktionen beliebigen Code auszuführen (CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE -2022-24420 und CVE-2022-24421).

Wir haben bereits erwähnt, wie schwierig es für Cyberkriminelle ist, ein Rootkit zu entwickeln. Bootkits sind noch komplexer. Konstruktionsfehler können beispielsweise das Booten des Geräts verhindern, was eine Untersuchung und mögliche Entdeckung der Malware und der Cyberkriminellen zur Folge hat. Erschwerend kommt hinzu, dass es online nicht viele Informationen über diese Art von Malware gibt. Angreifer nutzen alle verfügbaren Mittel:

Wir haben 58 Telegram-Kanäle und zehn der aktivsten russisch- und englischsprachigen Dark-Web-Foren mit Anzeigen zum Verkauf von Bootkits und Jobs für Malware-Entwickler analysiert.

Der Durchschnittspreis für die Miete eines Bootkits beträgt 4.900 US-Dollar. Zum Vergleich: Ein Rootkit kann für 100–200 US-Dollar gemietet werden.

Für 10.000 US-Dollar kostet der Kauf des Bootkit-Quellcodes und für 2.000 US-Dollar ein lauffähiges Image. Cyberkriminelle sind bereit, 3.000 bis 5.000 US-Dollar für die Entwicklung eines Bootkits für MBR-Infektionen zu zahlen. Der Höchstpreis, den sie für ein Bootkit für UEFI-Firmware zu zahlen bereit sind, beträgt 2 Millionen US-Dollar.

In Telegram-Kanälen stießen wir auf Nachrichten mit angehängten Archiven, die den Quellcode für Bootkit-PoCs und In-the-Wild-Bootkits enthielten und es Angreifern ermöglichten, ein vorgefertigtes Bootkit zu erstellen oder Fragmente vorgefertigten Codes für die Entwicklung ihrer eigenen Malware zu verwenden.

Unserer Ansicht nach wird die Firmware-Forschung zur Entdeckung neuer Schwachstellen führen und Bootkits selbst werden immer häufiger vorkommen. Wie immer gilt: Vorbeugen ist besser als Heilen. Vor diesem Hintergrund empfehlen wir:

Denken Sie auch daran, wie wichtig es ist, Malware-Downloader und -Installer frühzeitig zu erkennen und zu bekämpfen, und nutzen Sie die neuesten Antiviren-Tools und Sandboxes, um das potenzielle Verhalten einer Datei im System zu analysieren, bevor sie direkt ausgeführt wird.

Um eine Infektion zu erkennen, muss die Integrität der Boot-Records und der Firmware überwacht werden.