infoguard-alert-malware-bios-chips

Alert! Malware can hide but it must run

Nach einem Bericht von ESET ist gestern ein Malware-Szenario eingetreten, welches im roten Bereich eingestuft werden kann: Malware, die sich nicht primär auf der Festplatte, sondern in UEFI BIOS Chips einnistet, welche in allen neueren Systemen Standard sind. Das ist in der Tat ein ernst zu nehmender Fall – aber deswegen gleich ein Blogpost? Ja! Denn das ist ein Paradebeispiel um zu zeigen, dass altbewährte Hunting-Techniken auch bei sehr moderner Malware funktionieren.

LoJax – so der von ESET vorgeschlagene Name für die neu gesichtete Malware – nützt eigentlich keine Sicherheitslücke aus. Vielmehr nützt LoJax nur die von UEFI BIOS (teils undokumentiert) bereitgestellten Funktionalitäten.

Während des Startvorgangs schreibt die BIOS Komponente der Malware dann ein Executable in den %SYSTEMROOT%\System32 oder den %SYSTEMROOT%\syswow64 folder. Zusätzlich wird der Registry Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute angepasst, um die Malware zu laden.

Fakt ist also, dass sich spätestens nach der Aktivierung ein typisches Bild einer Malware bietet, die sich auch innerhalb eines Systems bewegt. Damit gelten die gleichen Regeln wie bei jeder anderen Malware auch – oder schöner gesagt: Malware can hide but it must run. Das ist (wie immer) der beste Ansatzpunkt für Incident Responder.

Bei dem Malware File namens rpcnetp.exe, das durch einen Service-Eintrag gestartet wird, kommen Windows-Vorgänge wie Shimming (Shimcache/AMCache) zum Zug. Ob auch Eventlog-Einträge in Zusammenhang mit Services generiert werden, ist unbekannt. Auch im Bereich der Memory-Forensik kann die Malware erkannt werden. Dies ist dort auch über Injected Sections in den Prozessen iexplore.exe und svchost.exe möglich.

Identifizierung mit Shimcache Stacking 

Um einzelne infizierte Rechner in der Masse zu identifizieren, bietet sich Shimcache Stacking an. Dabei wird von einer grossen Zahl an Endpoints der Shimcache extrahiert und im Anschluss die Summe über alle gleichen Executables aller System gebildet. Basierend auf Erfahrungen in APT-Untersuchungen sind nur wenige der Endpoints von Malware befallen. Damit kann der Incident Responder die Analyse auf executables mit niederen Vorkommenszahlen fokussieren.

Diese Technik muss von jeder nutzbringenden EDR-Lösung unterstützt werden. Sollte keine derartige Lösung zur Verfügung stehen, bietet sich das frei verfügbare Tool cis-esp vom «Center of Internet Security» an. Dieses Tool wird nicht mehr gewartet, wodurch Windows-Systeme, die neuer als Windows 7 sind, nicht mehr unterstützt werden. Eine gepatchte Version, die bis zur aktuellen Windows 10 Version alle Windows-Systeme unterstützt, kann von meiner Github Repository heruntergeladen werden.

CIS-ESP nützt WMI und funktioniert daher sehr gut in Windows Domains. Der Nachteil ist, dass dadurch Admin Logins auf allen Zielsystemen passieren. Das ist speziell bei Systemen ohne Credential Guard als kritisch anzusehen (möglicher Einsatz von Mimikatz, wce etc.).

InfoGuard setzt diese Lösung aktuell in einem Netzwerk mit annähernd 4000 Endpoints ein, um unter anderem Shimcache-Daten zu sammeln.

Bei Fragen oder detektierten Infektionen kontaktieren Sie uns bitte unter soc@infoguard.ch .

<< >>

Cyberrisiken , IT-Sicherheit , Cyber Security

Mathias Fuchs
Über den Autor / Mathias Fuchs

InfoGuard AG - Mathias Fuchs, Head of Cyber Defence

Weitere Artikel von Mathias Fuchs


Ähnliche Artikel
2018 – das Jahr der GDPR ist noch nicht vorbei!
2018 – das Jahr der GDPR ist noch nicht vorbei!

Die GDPR (oder auch DSGVO) hat im ersten Halbjahr viele Gemüter erhitzt. Nicht wenige Unternehmen haben nicht [...]
Was Purple Teaming mit «Räuber und Gendarmen» gemein hat
Was Purple Teaming mit «Räuber und Gendarmen» gemein hat

«Hände hoch! Du bist verhaftet!» ‒ so oder ähnlich tönte es jeweils, wenn wir früher mit unseren Fahrrädern [...]
Wie Ihre Cyber Security von einem Wohnungseinbruch profitieren kann
Wie Ihre Cyber Security von einem Wohnungseinbruch profitieren kann

Wie jedes Jahr waren auch diese Sommerferien wie immer viel zu kurz. Wahrscheinlich schwelgen Sie genau wie [...]
Cyber Security Blog

Der InfoGuard Cyber Security Blog liefert Ihnen regelmässig News und detaillierte Berichte aus der Welt der Cyber Security und Cyber Defence.

Blog Updates abonnieren
Social Media
Gratis Download
New Call-to-action