Categories: SicherheitVirus

Neue TrickBot-Variante macht sich am BIOS zu schaffen

Die Hintermänner der Malware TrickBot haben einen neue Funktion für ihre Schadsoftware entwickelt. Sie könnte es ihnen erlauben, mit dem BIOS oder der UEFI-Firmware eines infizierten Computers zu interagieren. Erstmals entdeckt wurde die neue Funktion Ende Oktober in einem neuen TrickBot-Modul.

Das Modul wiederum wurde von den Sicherheitsanbietern Advanced Intelligence und Eclypsium analysiert. Es könnte benutzt werden, um die Malware dauerhaft auf einem Computer einzurichten, sodass sie sogar eine Neuinstallation des Betriebssystems übersteht.

Die Forscher warnen aber auch, dass ein erfolgreicher Eingriff in BIOS oder UEFI-Firmware ein Gerät lahmlegen könnte. Auch sei es möglich, Sicherheitsvorkehrungen wie BitLocker, Credential Guard, ELAM oder Windows 10 Virtual Secure Mode auszuhebeln. Die Kontrolle über BIOS und UEFI könnte aber auch den Weg für weitere Angriffe ebnen, indem die Hacker beispielsweise Microcode-Update rückgängig machen, die CPU-Sicherheitslücken wie Spectre schließen.

Bisher ist den Forschern zufolge ein erfolgreicher Eingriff in BIOS oder UEFI-Firmware nicht möglich. Das neue Modul prüfe lediglich den SPI-Controller, um herauszufinden, ob der Schreibschutz für das BIOS aktiv ist oder nicht. Veränderungen an der Gerätesoftware konnten die Forscher indes noch nicht nachweisen. „Allerdings verfügt die Malware bereits über den Code, um Firmware zu lesen, zu schreiben und zu löschen“, ergänzten sie.

Die Forscher gehen davon aus, dass die Hintermänner von TrickBot die derzeit noch fehlende Funktionalität nachrüsten werden. Sie würde ihnen die Möglichkeit geben, sich dauerhaft in bestimmte Netzwerke einzunisten, um den Zugang beispielsweise für Cryptomining und anschließend auch noch Angriffe mit Ransomware bereitzustellen. Interneterpresse bekämen indes ein weiteres Druckmittel: Sie könnten nicht nur verschlüsselte und gestohlene Daten in die Waagschale werfen, sondern auch noch mit der Zerstörung von Hardware drohen.

Den Sicherheitsanbietern zufolge ist TrickBot zudem die erste Schadsoftware, die ausschließlich finanzielle Ziele verfolgt, die auch in BIOS und UEFI-Firmware eingreifen kann. Diese Funktion sei zuvor nur bei staatlich gesponserter Schadsoftware beobachtet worden. Eclypsium weist in dem Zusammenhang darauf hin, dass die Hintermänner von TrickBot den benötigten Code nicht selbst entwickelt haben. Stattdessen sollen zu auf einen Treiber namens RwDrv.sys zurückgreifen, der zu einem RWEverything genannten Tool gehört.

Die neue Funktion könnte zudem eine Reaktion auf Versuche von US-Behörden sein, in Zusammenarbeit mit Microsoft die TrickBot-Operation abzuschalten. Nach dem gescheiterten Versuch hätten die Hintermänner zahlreiche neue Funktionen hinzugefügt, darunter eine neue Befehlsserver-Infrastruktur und neue Techniken zur Code-Verschleierung.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Nach dem Angriff ist vor dem Angriff

Wie sich die Ransomware-Szene derzeit entwickelt und was der Plan B der Hacker ist, schildert…

2 Tagen ago

Mobile Apps für SAP-Freigaben

Einen umfassenden Ansatz für digitale Freigabeverfahren SAP-bezogener Vorgänge hat die Münchner munich enterprise software entwickelt.

2 Tagen ago

Hacker nehmen Electronic Arts ins Visier

Hacker verkaufen nach einem Angriff auf Electronic Arts (EA) den Zugriff auf FIFA-Matchmaking-Server und andere…

2 Tagen ago

Intelligent Bedrohungen im Unternehmensnetzwerk bekämpfen

Im Frühjahr sorgte die Attacke auf den Microsoft Exchange Server für Schlagzeilen und löste nach…

3 Tagen ago

Huawei enthüllt Cybersicherheit Framework

Der chinesische Tech-Gigant Huawei hat mit der Eröffnung seines neuesten Transparenzzentrums in Dongguan und eines…

4 Tagen ago

Linux Foundation bereitet globales COVID-Zertifikatsnetzwerk vor

Die Linux Foundation Public Health möchte die Infrastruktur für den ersten internationalen COVID-19-Pass bereitstellen. Die…

4 Tagen ago