{"id":29085,"date":"2022-07-29T13:34:54","date_gmt":"2022-07-29T11:34:54","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29085"},"modified":"2022-07-29T13:34:54","modified_gmt":"2022-07-29T11:34:54","slug":"cosmicstrand-uefi-rootkit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/cosmicstrand-uefi-rootkit\/29085\/","title":{"rendered":"CosmicStrand: Ein UEFI-Rootkit"},"content":{"rendered":"

Unsere Forscher haben eine neue Version des Rootkits CosmicStrand<\/a> untersucht, die sie in modifizierter UEFI-Firmware<\/a> (Unified Extensible Firmware Interface) gefunden haben \u2013 es handelt sich hierbei um den Code, der beim Einschalten des Computers als erstes geladen wird, um den Boot-Prozess des Betriebssystems einzuleiten.<\/p>\n

Diese Gefahren birgt UEFI-Malware<\/h2>\n

Da die UEFI-Firmware in einem Chip auf der Hauptplatine eingebettet ist und nicht auf die Festplatte geschrieben wird, ist sie immun gegen jegliche Manipulationen der Festplatte. Daher ist fast unm\u00f6glich UEFI-basierte Malware wieder loszuwerden: Denn selbst das L\u00f6schen der Festplatte und die Neuinstallation des Betriebssystems k\u00f6nnen der UEFI-Schnittstelle nichts anhaben. Aus demselben Grund sind auch nicht alle Sicherheitsl\u00f6sungen in der Lage, UEFI-Malware zu erkennen. Mit anderen Worten: Ist Malware erst einmal in die Firmware eingedrungen, bleibt sie auch dort.<\/p>\n

Experten von #Kaspersky haben eine neue Version des #Rootkits #CosmicStrand entdeckt, die sich in der UEFI-Firmware versteckt.<\/p>Tweet<\/a><\/blockquote>\n

Selbstverst\u00e4ndlich ist die Infizierung der UEFI keine einfache Aufgabe: Dies erfordert entweder physischen Zugang zum Ger\u00e4t oder einen ausgekl\u00fcgelten Mechanismus zur Remote-Infektion der Firmware. Au\u00dferdem muss sich die Malware nicht nur in der Firmware einnisten, sondern f\u00fcr maximalen Erfolg beim Starten des Rechners zudem in das Betriebssystem eindringen, was alles andere als einfach ist. All das ist nur durch gro\u00dfen Aufwand m\u00f6glich, weshalb derartige Malware am h\u00e4ufigsten bei zielgerichteten Angriffen auf hochrangige Personen oder Organisationen zum Einsatz kommt.<\/p>\n

Opfer und m\u00f6gliche Infektionsvektoren<\/h2>\n

Seltsamerweise handelte es sich bei den von unseren Forschern identifizierten CosmicStrand-Opfern um v\u00f6llig normale Nutzer, die unsere kostenlose AV-Software verwendeten. Ganz offensichtlich hatten sie nichts mit einer f\u00fcr die Angreifer interessanten Organisation zu tun. Zudem stellte sich heraus, dass die infizierten Motherboards in allen bekannten F\u00e4llen von ausschlie\u00dflich zwei Herstellern stammten. Daher ist es wahrscheinlich, dass die Angreifer eine gemeinsame Schwachstelle in diesen Motherboards gefunden haben, die eine UEFI-Infektion erm\u00f6glichte.<\/p>\n

Wie genau es den Cyberkriminellen gelungen ist, die Malware zu verbreiten, ist bislang nicht bekannt. Die Tatsache, dass es sich bei den Opfern des Rootkits um Ottonormalverbraucher handelte, k\u00f6nnte darauf hinweisen, dass die Angreifer, die hinter dem Rootkit stecken, UEFI aus der Ferne infizieren k\u00f6nnen. M\u00f6glich sind aber auch andere Erkl\u00e4rungen: So \u00e4u\u00dferten die Experten von Qihoo 360, die fr\u00fchere Versionen von CosmicStrand aus dem Jahr 2016 untersucht hatten, die Vermutung<\/a>, dass eines der Opfer ein modifiziertes Motherboard von einem Wiederverk\u00e4ufer erworben haben k\u00f6nnte. Unsere Experten konnten den Einsatz einer bestimmten Infektionsmethode in diesem Fall nicht best\u00e4tigen.<\/p>\n

So agiert CosmicStrand<\/h2>\n

Das Hauptziel von CosmicStrand besteht darin, beim Start des Betriebssystems ein sch\u00e4dliches Programm herunterzuladen, das dann die von den Angreifern festgelegten Aufgaben ausf\u00fchrt. Nachdem das Rootkit alle Phasen des Betriebssystem-Startvorgangs erfolgreich durchlaufen hat, f\u00fchrt es schlie\u00dflich einen Shell-Code aus und kontaktiert den C2-Server<\/a> der Angreifer, von dem es eine b\u00f6sartige Nutzlast erh\u00e4lt.<\/p>\n

\"Infektionskette

Infektionskette des Rootkits CosmicStrand<\/p><\/div>\n

\u00a0<\/p>\n

Unsere Forscher konnten die Datei, die das Rootkit von seinem C2-Server erhielt, nicht abfangen. Stattdessen fanden sie auf einem der infizierten Computer Malware, die h\u00f6chstwahrscheinlich im Zusammenhang mit CosmicStrand steht. Diese Malware erstellt im Betriebssystem einen Nutzer namens \u201eaaaabbbb\u201c mit lokalen Administratorrechten. Weitere technische Details \u00fcber CosmicStrand finden Sie im Beitrag unserer Forscher auf Securelist<\/a>.<\/p>\n

Sollten wir Angst vor Rootkits haben?<\/h2>\n

CosmicStrand leistet Cyberkriminellen bereits seit 2016 gute Dienste und hat bislang wenig oder gar keine Aufmerksamkeit von Sicherheitsforschern erhalten. Ja, das klingt zun\u00e4chst besorgniserregend, aber es gibt nicht nur schlechte Nachrichten. Zum einen ist dies ein Beispiel f\u00fcr ausgefeilte, teure Malware, die f\u00fcr zielgerichtete und nicht f\u00fcr Massenangriffe eingesetzt wird \u2013 auch wenn ab und an scheinbar zuf\u00e4llige Personen in die Schusslinie der Angreifer geraten. Zum anderen gibt es Sicherheitsprodukte, die derartige Malware erkennen k\u00f6nnen. So sch\u00fctzen beispielsweise unsere Sicherheitsl\u00f6sungen<\/a> unsere Nutzer vor Rootkits.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Unsere Experten haben eine neue Version des Rootkits CosmicStrand entdeckt, die sich in der UEFI-Firmware versteckt.<\/p>\n","protected":false},"author":2477,"featured_media":29087,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[274,3970,1076,345,3687],"class_list":{"0":"post-29085","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-bedrohungen","9":"tag-cosmicstrand","10":"tag-great","11":"tag-rootkit","12":"tag-uefi"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cosmicstrand-uefi-rootkit\/29085\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cosmicstrand-uefi-rootkit\/24412\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/19878\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/10046\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/26807\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cosmicstrand-uefi-rootkit\/24713\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/25108\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cosmicstrand-uefi-rootkit\/27453\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cosmicstrand-uefi-rootkit\/27118\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cosmicstrand-uefi-rootkit\/33702\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cosmicstrand-uefi-rootkit\/10893\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cosmicstrand-uefi-rootkit\/45017\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cosmicstrand-uefi-rootkit\/19233\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cosmicstrand-uefi-rootkit\/19787\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cosmicstrand-uefi-rootkit\/25300\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cosmicstrand-uefi-rootkit\/30778\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cosmicstrand-uefi-rootkit\/30524\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/rootkit\/","name":"Rootkit"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29085","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2477"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29085"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29085\/revisions"}],"predecessor-version":[{"id":29090,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29085\/revisions\/29090"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29087"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29085"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29085"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29085"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}