TrickBoot: Malware gefährdet die Firmware-Sicherheit

Artikel ansehen

grafik

TrickBoot ist nur ein neues Modul des älteren Trojaners TrickBot ! TrickBot selber ist schon seit jeher als modular aufgestelltes Schad-System bekannt, ähnlich wie auch Emotet und Ryuk.

Es ist vor ca. 2 Tagen gelungen ein Sample des Moduls per Reverse Engeneering, soweit zu zerlegen, um die Funktionen und zukünftigen Features aufzuzeigen!
Hier einmal das Analyse-Protokoll der Ergebnisse:

Reversing Newly Featured TrickBot [TrickBoot]

Dynamic analysis report of TrickBoot on GitHub.

Ich denke, dass dieses neue Modul in erster Linie dazu entwickelt wurde, um TrickBot als eigentlichen Framework für diverseste Einsatzmöglichkeiten, die Möglichkeit des Selbsterhaltes auf Systemen zu schaffen!
Und zwar aus dem Grund, da man mit TrickBot befallene Systeme ja bereinigen kann und somit TrickBot danach verschwunden wäre vom Opfer-System! Da sich TrickBoot ja direkt in das UEFI / BIOS reinschreibt und somit erstmal nach jedem Neustart aktiv wird, besteht nun die Möglichkeit, dass sich dieses System direkt während des Bootvorgangs wieder mit dem Botnetz verbindet um eine neue TrickBot-Version zu installieren…!
Heisst im Ergebnis: Nach einer erfolgreichen Entfernung des TrickBot und einem anschliessenden Reboot, wäre das System direkt wieder kompromitiert - besser gehts ja nicht, aus Sicht der Kriminellen!!! :wink:

Andererseits bin ich nicht der Meinung, dass man ein mit TrickBoot befallenes System, nicht auch wieder bereinigen könnte!!
Nur weil sich das eigenständige Modul nicht auf dem Massespeicher befindet, sondern im BIOS-Chip auf dem Mainboard, heisst das ja nicht automatisch, dass es unlöschbar ist! Das sollte nämlich, wie bei jedem BIOS-Update mit einem BIOS Flash-Tool möglich sein. In diesen Tools ist immer ein EEprom-Eraser integriert, der das Bauteil vollständig löscht. Desweiteren nutzen diese Tools auch nicht die UEFI-Schnittstelle (Schnittstelle zwischen Betriebssystem und BIOS). Diese Tools können per Live-Boot, zum Beispiel von einem USB-Stick, gestartet werden (mit oder ohne GUI). Da diese Tools genauso wie das TrickBoot-Modul in Assembler geschrieben sind, wird zur Durchführung kein laufendes Betriebssystem benötigt!
Da es allerdings keine Antiviren-Software gibt, die ein Einnisten des TrickBoot-Moduls registriert, wird die Herausforderung zukünftig sein, erst einmal darauf zu kommen, dass der eigentliche Schädling dort in dem elektronischen Bauteil sitzt !! :wink: :joy: