Weltweit erstes UEFI-Rootkit entdeck

Weltweit erstes UEFI-Rootkit entdeck

(Quelle: Eset)
28. September 2018 - Erstmals wurde in der freien Wildbahn ein UEFI-Rootkit gesichtet. Die Malware nistet sich im SPI-Flash-Speicher ein und lässt sich so nicht einmal durch den Austausch der Festplatte eliminieren.
Die Security-Experten von Eset haben ein erstes UEFI-Rootkit in der freien Wildbahn entdeckt, das mit dem Namen Lojax versehen wurde. UEFI-Rootkits gelten als besonders gefährliche Malware, da sie sich nicht auf der Festplatte einnisten und so mit konventionellen Säuberungsmassnahmen nicht beseitigt werden können.

Bis anhin wurden UEFI-Rootkits laut Eset nur in Machbarkeitsstudien festgestellt. Nun wurden aber über eine Malware-Kampagne der Hackergruppe Sednit ATP UEFI-Rootkits erfolgreich auf angegriffene PCs aufgespielt. Wie Eset mitteilt, ergaben die Untersuchungen, dass es den Kriminellen gelungen sei, ein schädliches UEFI-Modul in den SPI-Flash-Speicher eines Computers zu programmieren, womit während dem Boot-Prozess Malware ausgeführt werden kann. Dem Schädling lässt sich dadurch kaum zu Leibe rücken, da er weder durch die Neuinstallation des Betriebssystems, noch durch den kompletten Austausch der Festplatte beseitigt werden kann. Einzig durch ein erneutes Flashen des SPI-Speichers lässt sich das UEFI säubern. Eine ausführliche Beschreibung der Lojax-Funktionsweise stellt Eset in einem Whitepaper zur Verfügung.

Laut Eset kann man sich vor dem jetzt gesichteten UEFI-Rootkit durch eine Aktivierung der Secure-Boot-Funktion im BIOS schützen. Damit werden nur korrekt signierte Firmware-Komponenten geladen, was bei der UEFI-Malware offenbar nicht der Fall ist. (rd)

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
SPONSOREN & PARTNER