Eset warnt vor brisantem Schadcode
Malware umgeht erstmals UEFI Secure Boot
Eset-Forscher haben Schadsoftware identifiziert, die wesentliche Sicherheitsmerkmale von UEFI Secure Boot – einem Sicherheitssystem von Windows – umgeht. Selbst ein aktuelles Windows-11-System mit aktiviertem Secure Boot stellt für das Bootkit (als Schadcode, der schon früh im Boot-Prozess ansetzt) laut den Forschern kein Problem dar.
Aufgrund der Funktionalität des Bootkits und seiner Merkmale gehen die Fachleute des sklowakischen IT-Sicherheitsanbieters davon aus, dass es sich um eine als BlackLotus bekannte Bedrohung handelt. Kriminelle bieten das UEFI-Bootkit seit Oktober 2022 für 5.000 Dollar in Hackerforen an.
„Erste Hinweise erhielten wir durch Treffer in unserer Telemetrie Ende 2022“, sagt Martin Smolár, der Eset Forscher, der die Untersuchung des Bootkits leitete. „Diese stellten sich als eine Komponente von BlackLotus – einem HTTP-Downloader – heraus. Nach einer ersten Analyse entdeckten wir in den Proben der gefunden Codemuster von sechs BlackLotus-Installationsprogrammen. Dadurch konnten wir die gesamte Ausführungskette untersuchen und erkennen, dass wir es hier nicht nur mit normaler Malware zu tun haben.“
BlackLotus nutzt laut Eset-Angaben die mehr als ein Jahr alte Sicherheitslücke CVE-2022-21894 aus, um UEFI Secure Boot zu umgehen und sich dauerhaft im Rechner einzunisten. Dies sei die erste bekannte Ausnutzung dieser Sicherheitslücke in freier Wildbahn. Obwohl die Schwachstelle mit dem Microsoft-Update vom Januar 2022 behoben wurde, ist ihr Missbrauch laut den Eset-Forschern immer noch möglich, da die betroffenen, gültig signierten Binärdateien immer noch nicht zur UEFI-Sperrliste hinzugefügt sind. BlackLotus nutze dies aus, indem es seine eigenen Kopien legitimer, aber anfälliger Binärdateien auf das System bringt.
Schadcode kann Bitlocker und Defender ausschalten
BlackLotus ist nach Eset-Angaben in der Lage, Sicherheitsmechanismen des Betriebssystems wie BitLocker, HVCI (Hypervisor Code Integrity) und Windows Defender zu deaktivieren. Nach der Installation bestehe das Hauptziel der Schadsoftware darin, einen Kernel-Treiber (den es vor der Entfernung schützt) und einen HTTP-Downloader zu installieren. Letzterer ist für die Kommunikation mit dem Command-and-Control-Server zuständig und kann zusätzliche Nutzdaten für den Benutzermodus oder den Kernel-Modus laden.
Einige BlackLotus-Installationsprogramme stoppen laut Eset die Bootkit-Installation, wenn der kompromittierte Rechner Gebietsschemata aus Armenien, Belarus, Kasachstan, Moldawien, Russland oder der Ukraine verwendet. Damit liegt es nahe, die Quelle der Schadsoftware in Russland oder befreundeten Staaten zu vermuten.
BlackLotus wird mindestens seit Anfang Oktober 2022 in Untergrundforen beworben und verkauft. „Wir haben Beweise, dass das Bootkit echt und die Werbung dafür kein Betrug ist“, sagt Smolár. „Die geringe Anzahl von BlackLotus-Samples, die wir sowohl aus öffentlichen Quellen als auch aus unserer Telemetrie erhalten haben, lässt uns vermuten, dass noch nicht viele Hacker damit begonnen haben, es einzusetzen.“ Doch Eset befürchte, dass sich das schnell ändern wird, sollte das Bootkit in die Hände von Crimeware-Gruppen gelangen. „Denn er ist leicht zu verteilen“, so Smolár, „und kann von diesen Gruppen beispielsweise über Botnetze verbreitet werden.“
Lesen Sie mehr zum Thema
