CosmicStrand: Ein UEFI-Rootkit

Unsere Experten haben eine neue Version des Rootkits CosmicStrand entdeckt, die sich in der UEFI-Firmware versteckt.

Unsere Forscher haben eine neue Version des Rootkits CosmicStrand untersucht, die sie in modifizierter UEFI-Firmware (Unified Extensible Firmware Interface) gefunden haben – es handelt sich hierbei um den Code, der beim Einschalten des Computers als erstes geladen wird, um den Boot-Prozess des Betriebssystems einzuleiten.

Diese Gefahren birgt UEFI-Malware

Da die UEFI-Firmware in einem Chip auf der Hauptplatine eingebettet ist und nicht auf die Festplatte geschrieben wird, ist sie immun gegen jegliche Manipulationen der Festplatte. Daher ist fast unmöglich UEFI-basierte Malware wieder loszuwerden: Denn selbst das Löschen der Festplatte und die Neuinstallation des Betriebssystems können der UEFI-Schnittstelle nichts anhaben. Aus demselben Grund sind auch nicht alle Sicherheitslösungen in der Lage, UEFI-Malware zu erkennen. Mit anderen Worten: Ist Malware erst einmal in die Firmware eingedrungen, bleibt sie auch dort.

Selbstverständlich ist die Infizierung der UEFI keine einfache Aufgabe: Dies erfordert entweder physischen Zugang zum Gerät oder einen ausgeklügelten Mechanismus zur Remote-Infektion der Firmware. Außerdem muss sich die Malware nicht nur in der Firmware einnisten, sondern für maximalen Erfolg beim Starten des Rechners zudem in das Betriebssystem eindringen, was alles andere als einfach ist. All das ist nur durch großen Aufwand möglich, weshalb derartige Malware am häufigsten bei zielgerichteten Angriffen auf hochrangige Personen oder Organisationen zum Einsatz kommt.

Opfer und mögliche Infektionsvektoren

Seltsamerweise handelte es sich bei den von unseren Forschern identifizierten CosmicStrand-Opfern um völlig normale Nutzer, die unsere kostenlose AV-Software verwendeten. Ganz offensichtlich hatten sie nichts mit einer für die Angreifer interessanten Organisation zu tun. Zudem stellte sich heraus, dass die infizierten Motherboards in allen bekannten Fällen von ausschließlich zwei Herstellern stammten. Daher ist es wahrscheinlich, dass die Angreifer eine gemeinsame Schwachstelle in diesen Motherboards gefunden haben, die eine UEFI-Infektion ermöglichte.

Wie genau es den Cyberkriminellen gelungen ist, die Malware zu verbreiten, ist bislang nicht bekannt. Die Tatsache, dass es sich bei den Opfern des Rootkits um Ottonormalverbraucher handelte, könnte darauf hinweisen, dass die Angreifer, die hinter dem Rootkit stecken, UEFI aus der Ferne infizieren können. Möglich sind aber auch andere Erklärungen: So äußerten die Experten von Qihoo 360, die frühere Versionen von CosmicStrand aus dem Jahr 2016 untersucht hatten, die Vermutung, dass eines der Opfer ein modifiziertes Motherboard von einem Wiederverkäufer erworben haben könnte. Unsere Experten konnten den Einsatz einer bestimmten Infektionsmethode in diesem Fall nicht bestätigen.

So agiert CosmicStrand

Das Hauptziel von CosmicStrand besteht darin, beim Start des Betriebssystems ein schädliches Programm herunterzuladen, das dann die von den Angreifern festgelegten Aufgaben ausführt. Nachdem das Rootkit alle Phasen des Betriebssystem-Startvorgangs erfolgreich durchlaufen hat, führt es schließlich einen Shell-Code aus und kontaktiert den C2-Server der Angreifer, von dem es eine bösartige Nutzlast erhält.

Infektionskette des Rootkits CosmicStrand

Infektionskette des Rootkits CosmicStrand

 

Unsere Forscher konnten die Datei, die das Rootkit von seinem C2-Server erhielt, nicht abfangen. Stattdessen fanden sie auf einem der infizierten Computer Malware, die höchstwahrscheinlich im Zusammenhang mit CosmicStrand steht. Diese Malware erstellt im Betriebssystem einen Nutzer namens „aaaabbbb“ mit lokalen Administratorrechten. Weitere technische Details über CosmicStrand finden Sie im Beitrag unserer Forscher auf Securelist.

Sollten wir Angst vor Rootkits haben?

CosmicStrand leistet Cyberkriminellen bereits seit 2016 gute Dienste und hat bislang wenig oder gar keine Aufmerksamkeit von Sicherheitsforschern erhalten. Ja, das klingt zunächst besorgniserregend, aber es gibt nicht nur schlechte Nachrichten. Zum einen ist dies ein Beispiel für ausgefeilte, teure Malware, die für zielgerichtete und nicht für Massenangriffe eingesetzt wird – auch wenn ab und an scheinbar zufällige Personen in die Schusslinie der Angreifer geraten. Zum anderen gibt es Sicherheitsprodukte, die derartige Malware erkennen können. So schützen beispielsweise unsere Sicherheitslösungen unsere Nutzer vor Rootkits.

Tipps