Wirtschaftsspionage: ESET enttarnt gefährliches UEFI-Bootkit

Eset_News
Anzeige

Beitrag teilen

ESPecter kommt durch die Hintertür und umgeht klassische Virenschutzlösungen. ESET Forscher haben eine neue Form von UEFI-Malware entdeckt. Die neuartige Variante von Schadprogramm nistet sich in der EFI-Systempartition (ESP) ein.

Mit ESPecter haben die Experten des europäischen IT-Sicherheitsherstellers ein sogenanntes UEFI-Bootkit entdeckt, das die Windows Treibersignatur umgeht und seinen eigenen unsignierten Treiber laden kann, was die Spionageaktivitäten enorm erleichtert. Das aktuelle Bootkit ist eine Weiterentwicklung der bereits zuvor von ESET entdeckten UEFI-Schadprogramme. ESET Sicherheitslösungen mit integriertem UEFI-Scanner schützen Privat- und Unternehmensrechner vor dieser möglichen Schachstelle.

Anzeige

ESPecter bereits seit 2012 aktiv

„Wir konnten die Wurzeln von ESPecter bis 2012 zurückverfolgen. Zuvor war das Spionageprogramm für Systeme mit veraltetem BIOS im Einsatz. Trotz seiner langen Existenz blieben ESPecter und seine Operationen sowie das Upgrade auf UEFI lange unbemerkt“, sagt ESET Forscher Anton Cherepanov, der das UEFI-Bootkit zusammen mit Martin Smolár entdeckt hat.

Ähnliche Variante schon früher im Einsatz

ESPecter wurde auf einem kompromittierten Rechner zusammen mit einer Keylogging- und Dokumentendiebstahl-Funktion entdeckt. Aus diesem Grund gehen die ESET Forscher davon aus, dass ESPecter hauptsächlich für Spionagezwecke verwendet wird. Anhand der ESET-Telemetrie konnten die ESET Forscher die Anfänge dieses Bootkits bis mindestens 2012 zurückdatieren. Interessant ist, dass sich die Komponenten der Malware in all den Jahren kaum verändert haben. Die Unterschiede zwischen den Versionen 2012 und 2020 sind nicht so signifikant, wie man erwarten würde. Nach all den Jahren eher unbedeutender Änderungen haben die Entwickler hinter ESPecter offenbar beschlossen, ihre Malware von veralteten BIOS-Systemen auf moderne UEFI-Systeme umzustellen.

Anzeige

Tipps zum Schutz vor UEFI-Bootkits

„ESPecter zeigt, dass sich die Entwickler hinter der Malware auf das Einnisten in der UEFI-Firmware verlassen und trotz vorhandener Sicherheitsmechanismen durchführen. Mit UEFI Secure Boot können solche Techniken leicht blockiert werden“, sagt Martin Smolár weiter. Um sich vor ESPecter oder ähnlichen Bedrohungen zu schützen, rät ESET Anwendern, diese einfachen Regeln zu befolgen:

  • Verwenden Sie immer die neueste FirmwareVersion.
  • Stellen Sie sicher, dass das System richtig konfiguriert und Secure Boot aktiviert ist.
  • Konfigurieren Sie im Unternehmen das Privileged Account Management (PAM), um zu verhindern, dass Angreifer auf privilegierte Konten zugreifen, die für die Installation des Bootkits benötigt werden.

Der Einsatz einer Sicherheitslösung mit einem UEFIScanner schützt ebenfalls vor solchen Bedrohungen. ESET hat diese Technologie in seinen Endpoint-Sicherheitslöungen für Unternehmen und Privatanwender standardmäßig integriert.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Mainbord-Attacke: UEFI-Malware bleibt Bedrohung

UEFI-Malware bleibt Bedrohung für Privatanwender und Unternehmen. Hacker haben mit neuartigen Angriffsmethoden die Firmware auf Mainboards infiltriert. ESET Technologien schützen ➡ Weiterlesen

Neues Firmware-Bootkit in freier Wildbahn

Kaspersky hat ein neues Firmware-Bootkit in freier Wildbahn entdeckt. Es basiert auf dem von Toolkit des Hacking Team. Es wurde ➡ Weiterlesen

ESET Threat Report T2/2021: Aggressive Ransomware-Taktiken

ESET Threat Report T2/2021: Aggressive Ransomware-Taktiken und Passwort-Diebstahl bedrohen Internet-Nutzer. Vermehrtes Ausspionieren von Aktivisten und Journalisten durch DevilsTongue. Der IT-Sicherheitshersteller ESET ➡ Weiterlesen

Hackergruppe spioniert Regierungen und Organisationen in Hotels aus

„FamousSparrow“ nutzt Microsoft Exchange Sicherheitslücken vom März 2021 aus. Hackergruppe spioniert Regierungen und Organisationen in Hotels aus. Eine bislang eher ➡ Weiterlesen

KMUs aufgepasst: Betrüger geben sich als Microsoft-Support aus 

Alte Masche, neue Tricks: Betrüger geben sich als Microsoft-Mitarbeiter am Telefon aus. Angebliche Support Anrufe nehmen wieder deutlich zu und finden ➡ Weiterlesen

Spezielle IIS-Schadprogramme für Windows-Web-Server

Spezielle Schadprogramme spähen Regierungen aus und attackieren Online-Shopper. ESET veröffentlicht Whitepaper über aktuelle Bedrohungen durch IIS-Malware für Windows-Web-Server. Die Sicherheitslücken in ➡ Weiterlesen