|
Diskussionsforum: Neues FinFisher UEFI Bootkit entwickeltWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
28.09.2021, 19:45 | #1 |
/// TB-Schüler | Neues FinFisher UEFI Bootkit entwickelt Hi, die "Gamma Group" aus Deutschland und GB (Entwickler der FinFisher Überwachungssoftware) hat ein neues UEFI Bootkit entwickelt. Habe das gerade auf BleepingComputer gelesen, aber die Informationen gibt es inzwischen auch an anderen Stellen im Internet. Quellen: https://www.bleepingcomputer.com/new...-uefi-bootkit/ https://www.globenewswire.com/news-r...-and-more.html https://www.zdnet.com/article/finspy...uefi-bootkits/ https://mynewspedia.xyz/finfisher-ma...h-uefi-bootkit Wirklich super, was wir in Deutschland so alles drauf haben... Zitat: "It seems the developers are putting at least as much work into obfuscation and anti-scanning measures as they do into the Trojan horse itself. As a result, its abilities to evade detection and analysis make this spyware particularly difficult to track and detect." Es wird Zeit, dass Phineas Fisher die Gamma Group mal wieder "aufmacht" und den Quellcode leakt. Dieser Hacker (oder diese Hackerin!) versteht wenigstens etwas von OPSEC... X. Geändert von Xynthetic (28.09.2021 um 20:07 Uhr) |
28.09.2021, 20:17 | #2 | |
| Neues FinFisher UEFI Bootkit entwickelt Was mich interessieren würde, inwieweit Secure Boot in Verbindung mit TPM 2.0 gegen solche Angriffe schützen kann.
__________________https://www.giga.de/tipp/secure-boot...-deaktivieren/ Zitat:
__________________ |
28.09.2021, 20:24 | #3 |
/// TB-Schüler | Neues FinFisher UEFI Bootkit entwickelt Ob TPM 2.0 dagegen hilft kann ich nicht beurteilen, mal sehen was die Experten hier dazu sagen.
__________________Secure Boot alleine scheint jedenfalls nicht zu helfen. Zitat: "Bootkits are malicious code planted in the firmware invisible to security solutions within the operating system since it's designed to load before everything else, in the initial stage of a device's booting sequence. They provide attackers with control over an operating systems' boot process and make it possible to sabotage OS defenses bypassing the Secure Boot mechanism since it depends on the firmware's integrity." Noch ein Zitat von einem Kaspersky Researcher bezüglich dieses neuen Bootkits: "The amount of work put into making FinFisher not accessible to security researchers is particularly worrying and somewhat impressive". Was mich extrem aufregt: Die Entwickler von dieser sch... Spyware behaupten, sie würden sie nur an Regierungs- und Strafverfolgungsbehörden verkaufen. Cybersecurity-Firmen dagegen haben längst festgestellt, dass sie auch mittels Spearphishing-Kampagnen und über die Infrastruktur von ISPs verbreitet wird. Außerdem ist besorgniserregend, dass die Gamma Group bezüglich ihrer "Kunden" nicht besonders wählerisch ist. Da sind auch Staaten und Regierungen dabei, die die eigene Bevölkerung massiv unterdrücken. Der BND hat es ja gar nicht nötig, Zeug von Gamma zu kaufen - der BND entwickelt eigene Trojaner. Kunden von Gamma sind hauptsächlich Regierungen, deren Cyber-Abteilungen weniger weit entwickelt sind. Das heißt leider nicht, dass der Gamma-Dreck nicht auch schon in Deutschland aufgetaucht ist. Und alle, die jetzt denken "juckt mich null, ich habe eh nix zu verbergen", sollten folgenden kurzen Artikel von Bruce Schneier lesen (US-amerikanischer Experte für Kryptographie, Privatsphäre und Computersicherheit): Wired - The Eternal Value of Privacy Der Artikel ist aus dem Jahr 2006! Leider wissen wir seit den Snowden Leaks, dass seitdem alles nur noch viel schlimmer geworden ist. X. Geändert von Xynthetic (28.09.2021 um 21:03 Uhr) |
28.09.2021, 21:28 | #4 | ||
| Neues FinFisher UEFI Bootkit entwickeltZitat:
Zitat:
__________________ Glaub ja nicht, was du denkst, wer ich bin |
28.09.2021, 21:53 | #5 |
/// TB-Schüler | Neues FinFisher UEFI Bootkit entwickelt Grundsätzlich stimme ich Dir absolut zu, theoretisch sollte TPM 2.0 davor schützen. Allerdings soll Windows 11 nicht auf Hardware ohne Secure Boot und TPM 2.0 laufen. Als das von M$ dann konsequent umgesetzt wurde, weil viele Leute Windows 11 in eine VM gekloppt haben (ich auch...), wurde einfach mal kurz ein Script geschrieben, das diese Systemvoraussetzungen aushebelt. https://www.bleepingcomputer.com/new...-requirements/ Da die FinFisher-Malware in dieser Form brandneu ist, könnte ich mir gut vorstellen, dass die Entwickler die ganzen aktuellen Rechner mit Secure Boot und TPM 2.0 einkalkuliert und ihre Spyware so geschrieben haben, dass sie das TPM 2.0 ebenfalls umgeht. Ich bin kein Experte und hatte noch keine Zeit, das genauer zu recherchieren (die Meldung kam erst heute). Aber ich halte es zumindest für denkbar, dass das Bootkit das TPM 2.0 aushebeln kann. Wie gesagt, das ist nur eine Vermutung. Was auch ziemlich problematisch ist - es reichen "einfache" Administratorrechte, um sich das Ding in die Firmware zu schreiben. Das war bei bisherigen Bootkits (LoJax, MosaicRegressor) soweit ich weiß anders. X. Geändert von Xynthetic (28.09.2021 um 22:00 Uhr) |
29.09.2021, 09:21 | #6 | |
| Neues FinFisher UEFI Bootkit entwickelt Was zu erwarten war, kommen immer mehr "Umgehungstools" auf den Markt: https://gist.github.com/AveYo/c74dc7...b5d65613187b15 Ob das sinnvoll ist, ist aus den bekannten Gründen fraglich Zitat:
__________________ --> Neues FinFisher UEFI Bootkit entwickelt |
29.09.2021, 10:20 | #7 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Neues FinFisher UEFI Bootkit entwickeltZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
29.09.2021, 20:09 | #8 | ||
/// TB-Schüler | Neues FinFisher UEFI Bootkit entwickelt Yes cosinus, ich blicke auch noch nicht ganz durch, aber ich warte mal ab was dazu in den nächsten Tagen noch an Informationen kommt (irgendwann kommt bestimmt etwas). Ich fürchte fast, dass es diesem Drecksladen gelungen sein könnte, Secure Boot und TPM 2.0 auszutricksen, aber wir brauchen erst mehr Infos. Zitat:
Zitat:
https://securelist.com/finspy-unseen-findings/104322/ Ich habe diesen (sehr langen) Kaspersky-Bericht jetzt komplett gelesen - ich blicke zwar immer noch nicht ganz durch, dafür muss ich ihn noch ein paarmal lesen. Aber das ist anscheinend schon ein ziemlich fieses Stück Spyware, das da aus Deutschland in die Welt verjubelt wird. Hoffentlich gelingt es Farbar eines Tages, FRST so zu aktualisieren, dass zumindest das versteckte Dateisystem von dem Bootkit entdeckt und gefixt werden kann - so wie es damals bei ZeroAccess war. Dann weiß man wenigstens, wann man seinen Computer wegschmeißen kann. Heutzutage läuft meiner Meinung nach massiv was schief. Das Tor Project z.B. bietet eine Bug Bounty von $4000 für eine entdeckte Schwachstelle im Tor Browser an, während der Cyberwaffen-Hersteller Zerodium $250.000 (!) für eine ausnutzbare Tor Schwachstelle bezahlt. Das ist einfach nur noch zum und meiner Meinung nach eine sehr ungute Entwicklung. X. Geändert von Xynthetic (29.09.2021 um 20:40 Uhr) |
29.09.2021, 20:36 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Neues FinFisher UEFI Bootkit entwickelt Überprüft der Windows-Dateischutz denn danach nicht mehr ob die statischen Dateien des Bootloaders verändert wurden? Und auch der Windows-Defender findet es nicht verdächtig, wenn bootmgfw.efi durch was anderes als das Windows-Update manipuliert wird? Also wenn das wirklich so ist, dann ist Windows kaputter als befürchtet und dieses ganze Secure-Boot-Geraffel eine Farce.
__________________ Logfiles bitte immer in CODE-Tags posten |
29.09.2021, 20:45 | #10 |
/// TB-Schüler | Neues FinFisher UEFI Bootkit entwickelt Ich bin ehrlich gesagt sowieso kurz davor, Windows 10 plattzumachen und Debian zu installieren. Da braucht man wenigstens physischen Zugang zur Installation eines solchen Bootkits. Fast alle Spiele-Blockbuster laufen inzwischen auch unter Linux (endlich), und ich könnte meine RTX2080Ti für "sinnvolle" Dinge nutzen (z.B. Hashcat ). X |
30.09.2021, 02:00 | #11 | |
/// TB-Schüler | Neues FinFisher UEFI Bootkit entwickeltZitat:
https://www.globenewswire.com/news-r...-and-more.html Nichts, das die Sache wirklich klarer machen würde. Auch nachdem ich den Kaspersky Report x-Mal gelesen habe kapiere ich noch immer nicht, wie genau diese Infektion funktioniert. Aber irgendwann steige ich vielleicht noch durch. X. |
30.09.2021, 14:23 | #12 | |
/// TB-Ausbilder | Neues FinFisher UEFI Bootkit entwickeltZitat:
Eine Entfernung scheint mir (nahezu) unmöglich. Es ist nicht mögllich, bösartige uefi firmware mit einer "guten" Version zu flashen/aktualisieren, so dass das Teil verschwindet, oder? |
30.09.2021, 14:27 | #13 |
/// TB-Schüler | Neues FinFisher UEFI Bootkit entwickelt Nein M-K-D-B, soweit ich weiß ist genau das nicht möglich. Sobald die Firmware einmal infiziert ist, kann man das Board wegschmeißen - und in diesem Fall auch gleich den Rest des Computers, weil ich keiner einzigen Komponente mehr vertrauen würde. Unter Umständen kann man die Tasks erkennen, oder auch bestimmte Registry-Einträge in den Run-Keys. Eher unwahrscheinlich ist, dass FRST irgendwas am Dateisystem bemerkt, weil die Timestamps entsprechend geändert werden. Alles sieht so aus, als wäre es schon seit einem Jahr auf dem Rechner. Außerdem ist das "versteckte Dateisystem" gar kein richtiges Dateisystem wie bei anderen Root-/Bootkits, sondern nur eine einzige verschlüsselte Datei - wie eine Art Container. Jetzt endlich blicke ich durch, wie das Bootkit funktioniert, und es ist echt trickreich. Ziemlich erschreckend. Ich hoffe, dass Farbar das Ding wenigstens "detectable" macht, damit man weiß, wann es einen erwischt hat. Ich gehe zwar nicht davon aus, dass ich zur Zielgruppe der Gamma Group Spyware gehöre, da der BND seine eigenen Trojaner schreibt (und ich habe ja eh nix zu verbergen ). Aber trotzdem würde es mich sehr freuen, wenn die Leute, die von diesem Dreck erwischt werden, es wenigstens einigermaßen rechtzeitig mitbekommen. Je nachdem, an wen die Gamma Group das Zeug verscherbelt, könnten davon sogar Leben abhängen (das ist leider mein völliger Ernst!). X. Geändert von Xynthetic (30.09.2021 um 14:52 Uhr) |
30.09.2021, 15:20 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Neues FinFisher UEFI Bootkit entwickelt Dann erklär mal
__________________ Logfiles bitte immer in CODE-Tags posten |
30.09.2021, 15:24 | #15 |
/// TB-Schüler | Neues FinFisher UEFI Bootkit entwickelt Gerne, aber ich bin gerade busy. Sobald ich dazu komme werde ich das, was ich dem Kaspersky Report entnehmen kann, zusammenfassen. Mehr Informationen als die aus dem Report habe ich natürlich auch noch nicht, aber vielleicht will es ein Teil der User hier ja in Kurzversion und auf Deutsch lesen. Übrigens bezweifle ich, dass ich *Dir* damit neue Erkenntnisse bieten kann, falls Du den Report auch komplett gelesen hast. Du bist hier der Experte, ich bin nur ein interessierter "Laie" mit ein paar fortgeschrittenen Kenntnissen (ist das ein Widerspruch? Ja!). ;-p X. |
Themen zu Neues FinFisher UEFI Bootkit entwickelt |
andere, anderen, bootkit, deutschland, entwickler, informationen, inter, interne, neues, stelle, super, wickel, Überwachungssoftware, zwischen |