|
Neues FinFisher UEFI Bootkit entwickelt Hi, die "Gamma Group" aus Deutschland und GB (Entwickler der FinFisher Überwachungssoftware) hat ein neues UEFI Bootkit entwickelt. Habe das gerade auf BleepingComputer gelesen, aber die Informationen gibt es inzwischen auch an anderen Stellen im Internet. Quellen: https://www.bleepingcomputer.com/new...-uefi-bootkit/ https://www.globenewswire.com/news-r...-and-more.html https://www.zdnet.com/article/finspy...uefi-bootkits/ https://mynewspedia.xyz/finfisher-ma...h-uefi-bootkit Wirklich super, was wir in Deutschland so alles drauf haben... :headbang: Zitat: "It seems the developers are putting at least as much work into obfuscation and anti-scanning measures as they do into the Trojan horse itself. As a result, its abilities to evade detection and analysis make this spyware particularly difficult to track and detect." Es wird Zeit, dass Phineas Fisher die Gamma Group mal wieder "aufmacht" und den Quellcode leakt. Dieser Hacker (oder diese Hackerin!) versteht wenigstens etwas von OPSEC... X. |
Was mich interessieren würde, inwieweit Secure Boot in Verbindung mit TPM 2.0 gegen solche Angriffe schützen kann. https://www.giga.de/tipp/secure-boot...-deaktivieren/ Zitat:
|
Ob TPM 2.0 dagegen hilft kann ich nicht beurteilen, mal sehen was die Experten hier dazu sagen. Secure Boot alleine scheint jedenfalls nicht zu helfen. Zitat: "Bootkits are malicious code planted in the firmware invisible to security solutions within the operating system since it's designed to load before everything else, in the initial stage of a device's booting sequence. They provide attackers with control over an operating systems' boot process and make it possible to sabotage OS defenses bypassing the Secure Boot mechanism since it depends on the firmware's integrity." Noch ein Zitat von einem Kaspersky Researcher bezüglich dieses neuen Bootkits: "The amount of work put into making FinFisher not accessible to security researchers is particularly worrying and somewhat impressive". :kloppen: Was mich extrem aufregt: Die Entwickler von dieser sch... Spyware behaupten, sie würden sie nur an Regierungs- und Strafverfolgungsbehörden verkaufen. Cybersecurity-Firmen dagegen haben längst festgestellt, dass sie auch mittels Spearphishing-Kampagnen und über die Infrastruktur von ISPs verbreitet wird. Außerdem ist besorgniserregend, dass die Gamma Group bezüglich ihrer "Kunden" nicht besonders wählerisch ist. Da sind auch Staaten und Regierungen dabei, die die eigene Bevölkerung massiv unterdrücken. Der BND hat es ja gar nicht nötig, Zeug von Gamma zu kaufen - der BND entwickelt eigene Trojaner. Kunden von Gamma sind hauptsächlich Regierungen, deren Cyber-Abteilungen weniger weit entwickelt sind. Das heißt leider nicht, dass der Gamma-Dreck nicht auch schon in Deutschland aufgetaucht ist. Und alle, die jetzt denken "juckt mich null, ich habe eh nix zu verbergen", sollten folgenden kurzen Artikel von Bruce Schneier lesen (US-amerikanischer Experte für Kryptographie, Privatsphäre und Computersicherheit): Wired - The Eternal Value of Privacy Der Artikel ist aus dem Jahr 2006! Leider wissen wir seit den Snowden Leaks, dass seitdem alles nur noch viel schlimmer geworden ist. X. |
Zitat:
Zitat:
|
Grundsätzlich stimme ich Dir absolut zu, theoretisch sollte TPM 2.0 davor schützen. Allerdings soll Windows 11 nicht auf Hardware ohne Secure Boot und TPM 2.0 laufen. Als das von M$ dann konsequent umgesetzt wurde, weil viele Leute Windows 11 in eine VM gekloppt haben (ich auch...), wurde einfach mal kurz ein Script geschrieben, das diese Systemvoraussetzungen aushebelt. https://www.bleepingcomputer.com/new...-requirements/ Da die FinFisher-Malware in dieser Form brandneu ist, könnte ich mir gut vorstellen, dass die Entwickler die ganzen aktuellen Rechner mit Secure Boot und TPM 2.0 einkalkuliert und ihre Spyware so geschrieben haben, dass sie das TPM 2.0 ebenfalls umgeht. Ich bin kein Experte und hatte noch keine Zeit, das genauer zu recherchieren (die Meldung kam erst heute). Aber ich halte es zumindest für denkbar, dass das Bootkit das TPM 2.0 aushebeln kann. Wie gesagt, das ist nur eine Vermutung. Was auch ziemlich problematisch ist - es reichen "einfache" Administratorrechte, um sich das Ding in die Firmware zu schreiben. Das war bei bisherigen Bootkits (LoJax, MosaicRegressor) soweit ich weiß anders. X. |
Was zu erwarten war, kommen immer mehr "Umgehungstools" auf den Markt: https://gist.github.com/AveYo/c74dc7...b5d65613187b15 Ob das sinnvoll ist, ist aus den bekannten Gründen fraglich Zitat:
|
Zitat:
|
Yes cosinus, ich blicke auch noch nicht ganz durch, aber ich warte mal ab was dazu in den nächsten Tagen noch an Informationen kommt (irgendwann kommt bestimmt etwas). Ich fürchte fast, dass es diesem Drecksladen gelungen sein könnte, Secure Boot und TPM 2.0 auszutricksen, aber wir brauchen erst mehr Infos. Zitat:
Zitat:
https://securelist.com/finspy-unseen-findings/104322/ Ich habe diesen (sehr langen) Kaspersky-Bericht jetzt komplett gelesen - ich blicke zwar immer noch nicht ganz durch, dafür muss ich ihn noch ein paarmal lesen. Aber das ist anscheinend schon ein ziemlich fieses Stück Spyware, das da aus Deutschland in die Welt verjubelt wird. Hoffentlich gelingt es Farbar eines Tages, FRST so zu aktualisieren, dass zumindest das versteckte Dateisystem von dem Bootkit entdeckt und gefixt werden kann - so wie es damals bei ZeroAccess war. Dann weiß man wenigstens, wann man seinen Computer wegschmeißen kann. :killpc: Heutzutage läuft meiner Meinung nach massiv was schief. Das Tor Project z.B. bietet eine Bug Bounty von $4000 für eine entdeckte Schwachstelle im Tor Browser an, während der Cyberwaffen-Hersteller Zerodium $250.000 (!) für eine ausnutzbare Tor Schwachstelle bezahlt. Das ist einfach nur noch zum :pukeface: und meiner Meinung nach eine sehr ungute Entwicklung. X. |
Überprüft der Windows-Dateischutz denn danach nicht mehr ob die statischen Dateien des Bootloaders verändert wurden? Und auch der Windows-Defender findet es nicht verdächtig, wenn bootmgfw.efi durch was anderes als das Windows-Update manipuliert wird? :confused: Also wenn das wirklich so ist, dann ist Windows kaputter als befürchtet und dieses ganze Secure-Boot-Geraffel eine Farce. :wtf: |
Ich bin ehrlich gesagt sowieso kurz davor, Windows 10 plattzumachen und Debian zu installieren. Da braucht man wenigstens physischen Zugang zur Installation eines solchen Bootkits. Fast alle Spiele-Blockbuster laufen inzwischen auch unter Linux (endlich), und ich könnte meine RTX2080Ti für "sinnvolle" Dinge nutzen (z.B. Hashcat :heilig:). X |
Zitat:
https://www.globenewswire.com/news-r...-and-more.html Nichts, das die Sache wirklich klarer machen würde. Auch nachdem ich den Kaspersky Report x-Mal gelesen habe kapiere ich noch immer nicht, wie genau diese Infektion funktioniert. Aber irgendwann steige ich vielleicht noch durch. X. |
Zitat:
Eine Entfernung scheint mir (nahezu) unmöglich. Es ist nicht mögllich, bösartige uefi firmware mit einer "guten" Version zu flashen/aktualisieren, so dass das Teil verschwindet, oder? |
Nein M-K-D-B, soweit ich weiß ist genau das nicht möglich. Sobald die Firmware einmal infiziert ist, kann man das Board wegschmeißen - und in diesem Fall auch gleich den Rest des Computers, weil ich keiner einzigen Komponente mehr vertrauen würde. Unter Umständen kann man die Tasks erkennen, oder auch bestimmte Registry-Einträge in den Run-Keys. Eher unwahrscheinlich ist, dass FRST irgendwas am Dateisystem bemerkt, weil die Timestamps entsprechend geändert werden. Alles sieht so aus, als wäre es schon seit einem Jahr auf dem Rechner. Außerdem ist das "versteckte Dateisystem" gar kein richtiges Dateisystem wie bei anderen Root-/Bootkits, sondern nur eine einzige verschlüsselte Datei - wie eine Art Container. Jetzt endlich blicke ich durch, wie das Bootkit funktioniert, und es ist echt trickreich. Ziemlich erschreckend. Ich hoffe, dass Farbar das Ding wenigstens "detectable" macht, damit man weiß, wann es einen erwischt hat. :headbang: Ich gehe zwar nicht davon aus, dass ich zur Zielgruppe der Gamma Group Spyware gehöre, da der BND seine eigenen Trojaner schreibt (und ich habe ja eh nix zu verbergen :wtf:). Aber trotzdem würde es mich sehr freuen, wenn die Leute, die von diesem Dreck erwischt werden, es wenigstens einigermaßen rechtzeitig mitbekommen. Je nachdem, an wen die Gamma Group das Zeug verscherbelt, könnten davon sogar Leben abhängen (das ist leider mein völliger Ernst!). X. |
Zitat:
|
Gerne, aber ich bin gerade busy. Sobald ich dazu komme werde ich das, was ich dem Kaspersky Report entnehmen kann, zusammenfassen. Mehr Informationen als die aus dem Report habe ich natürlich auch noch nicht, aber vielleicht will es ein Teil der User hier ja in Kurzversion und auf Deutsch lesen. Übrigens bezweifle ich, dass ich *Dir* damit neue Erkenntnisse bieten kann, falls Du den Report auch komplett gelesen hast. Du bist hier der Experte, ich bin nur ein interessierter "Laie" mit ein paar fortgeschrittenen Kenntnissen (ist das ein Widerspruch? Ja!). ;-p X. |
Ich hab nicht alles gelesen, nur überflogen, der Text war mir bisher zu anstrengend :D Du darfst auch gern mal den Ruhm ernten :blabla: zudem hast du das Thema ja erstellt! :zunge: |
Hi, ich habe es mir anders überlegt, ehrlich gesagt bin ich im Moment (!) zu beschäftigt, um den Kaspersky-Report zu übersetzen und dann hier zusammenzufassen. Daher hier ein paar Auszüge, die mir besonders bemerkenswert vorkamen. Den ganzen hochtechnischen Kram lasse ich weg, das könnt Ihr beide (M-K-D-B und cosinus) Euch ja mal in Ruhe durchlesen (und natürlich auch jeder andere hier, den es interessiert). Let's go: Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Ab und zu infiziere ich ja mal eine meiner VMs mit Malware, aber dieses Ding würde ich mir nie absichtlich in eine VM installieren (wer weiß...). Ich würde den Dreck zu gerne mal in Aktion sehen, aber dafür braucht man ein air-gapped System, das man danach wegschmeißen kann (und selbst dann wird es nicht klappen, denn das Ding will ja gar nicht analysiert werden). Das überlasse ich lieber den Profis. X. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board