Abo
  • Services:
Anzeige
Schematische Darstellung des manipulierten Bootvorgangs
Schematische Darstellung des manipulierten Bootvorgangs (Bild: Fireeye)

Nemesis-Bootkit: Neue Malware befällt Finanzinstitute

Schematische Darstellung des manipulierten Bootvorgangs
Schematische Darstellung des manipulierten Bootvorgangs (Bild: Fireeye)

Nemesis befällt bevorzugt Systeme von Finanzinstituten. Die Malware versteckt sich im Volume Boot Record der Festplatte und erstellt sogar eine eigene virtuelle Partition, um ihren Payload zu parken. Sie ist nur schwer zu entdecken und zu entfernen.

Eine neue Malware installiert sich im Bootsektor von PCs und infiziert nach Angaben der Sicherheitsfirma Fireeye vor allem Akteure im Finanzbereich. Mit Hilfe der Bios-Infektion wollen die Angreifer sicherstellen, dass die Malware sich nicht durch eine Neuinstallation des Systems entfernen lässt. Nemesis ist bei weitem nicht die erste Bootloader-Malware, setzt aber einige innovative Techniken ein.

Anzeige

Die Malware-Familie mit dem Namen Nemesis bietet den Angreifern nach Angaben von Fireeye ein breites Spektrum an Werkzeugen: Datentransfer, Bildschirmfotos, Keylogging, Prozessinjektion, Prozessmanipulation und Task Scheduling. Im Rahmen der Kampagne gegen das ungenannte Finanzinstitut sollen die Macher der Malware ihre Software immer wieder upgedatet und mit neuen Funktionen versehen haben.

Persistenz durch Bootsektor-Infektion

Die folgenreichste Neuerung dürfte dabei die Einführung der Infektion des Bios Anfang dieses Jahres gewesen sein - die Fireeye-Forscher nennen dieses Werkzeug Bootrash. Die Malware checkt zunächst den Master Boot Record der Festplatte. Sie kann sich nur auf Systemen mit MBR installieren, Rechner mit Guid-Partitionstabelle und Secure Boot sind nicht anfällig für die Schadsoftware. Aktuelle Rechner mit Windows 10 oder Windows 8 dürften in der Regel daher nicht betroffen sein, weil Windows seit Version 8 in der Vorinstallation mit aktiviertem Secure Boot ausgeliefert wird. Gerade die Finanzindustrie ist aber dafür bekannt, weiterhin ältere Systeme einzusetzen, weil viele der Geldhäuser spezialisierte, proprietäre Software mit begrenzter Kompatibilität einsetzen.

Die Malware checkt außerdem, ob bereits eine Instanz von Nemesis auf dem Rechner läuft. Für eine erfolgreiche Installation wird außerdem Microsofts .Net-Framework in der Version 3.5 benötigt. Der Schadsoftware-Installer speichert eine codierte Sicherungskopie des infizierten VBR ab. Darüber hinaus wird der VBR mit CRC 16-CCITT und MD5 gehasht, um bei einer eventuellen Wiederherstellung der angelegten Sicherheitskopie ein korrektes Abbild zu gewährleisten. Hier sollen also offensichtlich Spuren verwischt werden, wenn der Angriff abgebrochen werden soll.

Der Trojaner erstellt eine eigene virtuelle Partition

Findet die Malware alle Bedingungen vor, installiert sie sich ins Volume Boot Record (VBR) der primären, aktiven Partition. Außerdem erstellt die Malware ein eigenes virtuelles Dateisystem, in dem die für Nemesis benötigten Komponenten gespeichert sind. Diese virtuelle Partition wird nach Angaben von Fireeye in den Zwischenräumen der Partitionen angelegt. Der benötigte Speicherplatz wird mit Hilfe der Windows Management Instrumentation (WMI) berechnet. Die zur Ausführung benötigten Dateien in einer extra angelegten Partition zu verstecken, ist eine Neuentwicklung unter den Bootkits.

Die Komponenten des eigentlichen Nemesis-Trojaners werden im virtuellen Dateisystem abgelegt und während des manipulierten Boot-Vorgangs in den Arbeitsspeicher geladen oder in der Windows-Registry unter HKCU\.Default\Identities als .sys oder .dll Dateien abgelegt. Während des veränderten Boot-Prozesses manipuliert die Malware verschiedene Systemgeräte und verhindert zum Beispiel, dass die CPU in den geschützten Modus wechselt, um sich erweiterte Rechte zu sichern.

Bootkit-Malware ist schwer zu entdecken, weil wesentliche Komponenten des Schadcodes bereits vor dem Start des Betriebssystems geladen werden - normale Integritätschecks des Betriebssystems greifen dann nicht. Die benötigten Komponenten werden außerdem außerhalb der Windows-Dateisysteme gehostet und daher von gängigen Antivirenprogrammen nicht überprüft. Fireeye schreibt den Angriff russischen Akteuren zu - russische Sprache in verschiedenen Programmteilen deute darauf hin. Hier könnte es sich aber natürlich auch um eine bewusst gelegte falsche Fährte handeln.


eye home zur Startseite
Atalanttore 18. Dez 2015

Im Klartext ohne diplomatische Beschönigungen: Die IT-Systeme von Banken werden erst...

Some0NE 09. Dez 2015

Ah dann gibt es mehr Sinn :)

coderookie 09. Dez 2015

Hi, Leider vermisse ich in diesem Artikel ein wenig Sachlichkeit. Einen infizierten...

tibrob 09. Dez 2015

Schade, denn so eine Malware würde dort kaum auffallen.

Äfra 09. Dez 2015

"hijacks bios interrupt" ist nach dem Ausschalten des PCs wieder behoben, oder...



Anzeige

Stellenmarkt
  1. Vossloh Locomotives GmbH, Kiel
  2. LEW Verteilnetz GmbH, Augsburg
  3. T-Systems International GmbH, Darmstadt, Mülheim an der Ruhr, München, Saarbrücken, Berlin
  4. Deutsche Telekom AG, Frankfurt am Main, Bonn


Anzeige
Blu-ray-Angebote
  1. (u. a. Der Hobbit 3 für 9,99€ u. Predator für 12,49€)
  2. (u. a. Die Goonies, John Mick, Auf der Flucht, Last Man Standing)
  3. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Funkchips

    Apple klagt gegen Qualcomm

  2. Die Woche im Video

    B/ow the Wh:st/e!

  3. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  4. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  5. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern

  6. Zaber Sentry

    Mini-ITX-Gehäuse mit 7 Litern Volumen und für 30-cm-Karten

  7. Weltraumteleskop

    Erosita soll Hinweise auf Dunkle Energie finden

  8. Anonymität

    Protonmail ist als Hidden-Service verfügbar

  9. Sicherheitsbehörde

    Zitis soll von München aus Whatsapp knacken

  10. OLG München

    Sharehoster Uploaded.net haftet nicht für Nutzerinhalte



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  2. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation
  3. Intel Kaby Lake Vor der Vorstellung schon im Handel

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

Macbook Pro 13 mit Touch Bar im Test: Schöne Enttäuschung!
Macbook Pro 13 mit Touch Bar im Test
Schöne Enttäuschung!
  1. Schwankende Laufzeiten Warentester ändern Akku-Bewertung des Macbook Pro
  2. Consumer Reports Safari-Bug verursachte schwankende Macbook-Pro-Laufzeiten
  3. Notebook Apple will Akkuprobleme beim Macbook Pro nochmal untersuchen

  1. Re: Noch ne Monty Python Nummer...

    HowlingMadMurdock | 11:42

  2. Sollte die Zwangsgebühr (warum auch immer...

    8Bit4ever | 11:40

  3. Re: Carpet Bombing musste billiger werden...

    Zuryan | 11:37

  4. Re: USB-Soundkarte kostet 2 Euro

    Tremolino | 11:37

  5. Nicht ganz sinnfrei

    tonictrinker | 11:37


  1. 11:21

  2. 09:02

  3. 19:03

  4. 18:45

  5. 18:27

  6. 18:12

  7. 17:57

  8. 17:41


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel