WinFuture-Forum.de: Uefi-Rootkit - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 2 Seiten +
  • 1
  • 2

Uefi-Rootkit Schadsoftware im Uefi.Bios


#1 Mitglied ist offline   expat 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.201
  • Beigetreten: 23. März 08
  • Reputation: 96
  • Geschlecht:unbekannt
  • Interessen:Ja

geschrieben 06. März 2020 - 05:21

Eine Schadsoftware, die sich nur durch Austausch des Mainboards entfernen lässt, findet man in diesem Beitrag beschrieben:

https://www.welivese...nit-apt28/


Falls sich ein Fachmann in diesen Thread verirrt:
Trifft der Fall auch dann zu , wenn man nicht über Uefi bootet?

Schützen davor soll man sich durch Secureboot können.

Dieser Beitrag wurde von expat bearbeitet: 06. März 2020 - 05:25

Signatur
0

Anzeige



#2 Mitglied ist offline   CaNNoN 

  • Gruppe: aktive Mitglieder
  • Beiträge: 203
  • Beigetreten: 16. November 05
  • Reputation: 5

geschrieben 06. März 2020 - 19:16

zumindest hier ist der link so verlinkt wie angegeben - also "https://www.welivese...nit-apt28/" - funktioniert also nicht, klingt aber durchwegs spannend :)
0

#3 Mitglied ist offline   Q 1 

  • Gruppe: aktive Mitglieder
  • Beiträge: 985
  • Beigetreten: 11. Januar 14
  • Reputation: 108
  • Geschlecht:Männlich

geschrieben 06. März 2020 - 22:09

Hab's mal ermittelt.

www.welivesecurity.com/deutsch/2018/09/27/lojax-uefi-rootkit-sednit-apt28
0

#4 Mitglied ist offline   Doodle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.527
  • Beigetreten: 09. Februar 12
  • Reputation: 472
  • Geschlecht:Männlich

geschrieben 07. März 2020 - 10:35

Eine fast zwei Jahre alte Meldung ...

Damit LoJax sich damals überhaupt installieren konnte, musste der Schädling sich zunächst im BS eingenistet haben. Deshalb reichen heute die normalen Schutzmaßnahmen völlig aus, damit er nicht ins UEFI eindringen kann.
0

#5 Mitglied ist offline   expat 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.201
  • Beigetreten: 23. März 08
  • Reputation: 96
  • Geschlecht:unbekannt
  • Interessen:Ja

geschrieben 07. März 2020 - 10:58

Beitrag anzeigenZitat (Doodle: 07. März 2020 - 10:35)

Eine fast zwei Jahre alte Meldung ...

Wie auch immer, die Frage bleibt bestehen:

Beitrag anzeigenZitat (expat: 06. März 2020 - 05:21)


Trifft der Fall auch dann zu , wenn man nicht über Uefi bootet?




Signatur
0

#6 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.290
  • Beigetreten: 19. August 04
  • Reputation: 1.302
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 07. März 2020 - 11:22

Solange man von Windows aus sein UEFI updaten kann, dann kann theoretisch auch LoJax zuschlagen.
Ich bin kein Toilettenpapier-Hamster.
Und ich sing
Bums Bums Corona brauch ich nicht Hopsassa
Bums Bums Corona brauch ich nicht Hopsassa
Bums Bums Corona Hopsassa und Hüpf.
In dem Sinne #StayHome
0

#7 Mitglied ist offline   expat 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.201
  • Beigetreten: 23. März 08
  • Reputation: 96
  • Geschlecht:unbekannt
  • Interessen:Ja

geschrieben 07. März 2020 - 12:20

Beitrag anzeigenZitat (DK2000: 07. März 2020 - 11:22)

Solange man von Windows aus sein UEFI updaten kann, dann kann theoretisch auch LoJax zuschlagen.
Ich starte aber mit dem Bios.
Signatur
0

#8 Mitglied ist offline   Stefan_der_held 

  • Gruppe: Offizieller Support
  • Beiträge: 13.755
  • Beigetreten: 08. April 06
  • Reputation: 685
  • Geschlecht:Männlich
  • Wohnort:Dortmund NRW
  • Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)

geschrieben 07. März 2020 - 12:39

Beitrag anzeigenZitat (expat: 07. März 2020 - 12:20)

Ich starte aber mit dem Bios.


Was aber für ein windowsseitiges initialisieren eines Updates des uEFI (BIOS/CSM ist nur noch ein "Addon" für das uEFI welches dafür sorgt, dass auch ältere Betriebssysteme mit dem uEFI zurecht kommen) nicht relevant ist.

@DK:

Könnte mir vorstellen, dass hier ein uEFI- Kennwort hilfreich wäre oder wie siehst du das? Also eine Absicherung dessen...
0

#9 Mitglied ist offline   Doodle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.527
  • Beigetreten: 09. Februar 12
  • Reputation: 472
  • Geschlecht:Männlich

geschrieben 07. März 2020 - 20:09

Das Bios-Passwort bietet im Grunde gar keinen Schutz. Bios-Passwörter auslesen kann man hier.

Und eigentlich verstehe ich die ganze Diskussion nicht. UEFI und Bios ist eigentlich das Gleiche. Der Unterschied ist im Grunde nur, dass das UEFI etwas modularer ist
0

#10 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.290
  • Beigetreten: 19. August 04
  • Reputation: 1.302
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 07. März 2020 - 20:40

Nein, UEFI und BIOS ist nicht das gleiche. BIOS ist immer 16bit. UEFI ist vom Prinzip her eine Mini-Betriebssystem in 32bit oder 64bit und wesentlich umfangreicher, was die Funktionen angeht und daher auch wesentlich angreifbarer. Sobald man Zugriff auf das NVRAM bekommt, kann man durchaus Schadcode starten, da es dem UEFI prinzipiell egal ist, wo seine Module liegen (Flash o. externer Datenträger).

Ein BIOS ist auch modular aufgebaut, aber wesentlich statischer und mit verhältnismäßigem geringen Funktionsumfang.

Und was das Passwort angeht, so funktioniert das mit dem Recovery nur noch bei wenigen Geräten. Die meisten Geräte haben da keine Hintertür mehr, jedenfalls keine bekannte.

Und was das Booten über den BIOS Mode angeht, so ist das kein BIOS. So wie Stefan schon erklärt hat, ist der BIOS Mode im UEFI nur ein optionales Modul, welches vom UEFI gestartet wird und eine BIOS Emulation innerhalb der UEFI Umgebung zur Verfügung stellt. Ein echtes BIOS ist das nicht mehr.
Ich bin kein Toilettenpapier-Hamster.
Und ich sing
Bums Bums Corona brauch ich nicht Hopsassa
Bums Bums Corona brauch ich nicht Hopsassa
Bums Bums Corona Hopsassa und Hüpf.
In dem Sinne #StayHome
1

#11 Mitglied ist offline   Doodle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.527
  • Beigetreten: 09. Februar 12
  • Reputation: 472
  • Geschlecht:Männlich

geschrieben 07. März 2020 - 21:17

Beitrag anzeigenZitat (DK2000: 07. März 2020 - 20:40)

Sobald man Zugriff auf das NVRAM bekommt, kann man durchaus Schadcode starten, da es dem UEFI prinzipiell egal ist, wo seine Module liegen (Flash o. externer Datenträger).

Und wo unterscheiden sich an der Stelle UEFI und Bios?
0

#12 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.290
  • Beigetreten: 19. August 04
  • Reputation: 1.302
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 07. März 2020 - 21:21

Das man mit BIOS keine Module von externer Quelle nachladen kann. Alles was das BIOS ausführt, muss sich im Flash befinden.
Ich bin kein Toilettenpapier-Hamster.
Und ich sing
Bums Bums Corona brauch ich nicht Hopsassa
Bums Bums Corona brauch ich nicht Hopsassa
Bums Bums Corona Hopsassa und Hüpf.
In dem Sinne #StayHome
0

#13 Mitglied ist offline   Doodle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.527
  • Beigetreten: 09. Februar 12
  • Reputation: 472
  • Geschlecht:Männlich

geschrieben 07. März 2020 - 21:30

Okay.

Ich finde es trotzdem etwas sinnfrei, über so einen Uralt-Schädling zu diskutieren.
1

#14 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.290
  • Beigetreten: 19. August 04
  • Reputation: 1.302
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 07. März 2020 - 21:53

Als "Uralt" würde ich den nicht bezeichnen. Es war halt der erste in der freie Wildbahn erschienenen Root Kit, welches sich direkt im Flash Memory einnisten konnte und somit außerhalb der Reichweite von Virenscannern befand. Und diese Bedrohung besteht nach wie vor, sofern man das UEFI nicht daraufhin absichert.
Ich bin kein Toilettenpapier-Hamster.
Und ich sing
Bums Bums Corona brauch ich nicht Hopsassa
Bums Bums Corona brauch ich nicht Hopsassa
Bums Bums Corona Hopsassa und Hüpf.
In dem Sinne #StayHome
0

#15 Mitglied ist offline   Ruby3PacFreiwald 

  • Gruppe: aktive Mitglieder
  • Beiträge: 274
  • Beigetreten: 07. Dezember 15
  • Reputation: 45
  • Geschlecht:Männlich

geschrieben 08. März 2020 - 00:14

Beitrag anzeigenZitat (Doodle: 07. März 2020 - 21:30)

Okay.

Ich finde es trotzdem etwas sinnfrei, über so einen Uralt-Schädling zu diskutieren.

lass den leuten ihren spaß, das ist genau so ein quatsch wie über ransomware zu sprechen, selbst als es aktuell war.
wer halbwegs was in der birne hat, oder mit pcs um gehen kann wann, wird sich sowas mit großer sicherheit niemals einfangen.
und selbst wenn, kaufe ich mir eben ein neues mainboard, immer noch besser als sich auch nur 5 minuten zeit, wegen so einem unsinn sorgen zu machen.

aber das sieht man ja gerade an der corona welle. gibt einfach leuten denen es spaß macht, weil sie in ihrem leben sonst wahrscheinlich nichts haben, über das sie reden können und sich sogar gerne gedanken darüber machen, weil sie einfach zu viel zeit und nichts zu tun haben. die denken mit großer freude, dass etwas gefährliches im umlauf sei, was ihnen schaden könnte und sich dann so gut wie es geht darauf vorbereiten, um als stark dazu stehen.
was ich davon halte sollte klar sein, schreibe ich aber besser hier nicht. es soll jeder machen wie er will!

Dieser Beitrag wurde von Ruby3PacFreiwald bearbeitet: 08. März 2020 - 00:16

0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0