Abo
  • Services:
Anzeige
Über ein UEFI-Rootkit kann Hacking Teams Spionagesoftware nachinstalliert werden.
Über ein UEFI-Rootkit kann Hacking Teams Spionagesoftware nachinstalliert werden. (Bild: Trend Micro)

Spionagesoftware: Hacking Team nutzt UEFI-Rootkit

Über ein UEFI-Rootkit kann Hacking Teams Spionagesoftware nachinstalliert werden.
Über ein UEFI-Rootkit kann Hacking Teams Spionagesoftware nachinstalliert werden. (Bild: Trend Micro)

Um seine Spionagesoftware permanent auf dem Rechner eines Opfers zu platzieren, nutzt das Hacking Team offenbar auch ein UEFI-Rootkit. Damit lässt sich der Trojaner auch nach einer Neuinstallation des Betriebssystems wieder nutzen.

Anzeige

Im veröffentlichten Datenfundus des Hacking Teams haben mehrere Experten ein UEFI-Rootkit entdeckt. Darüber soll die Spionagesoftware des italienischen Unternehmens auch nach einer Neuinstallation des Betriebssystems wieder auf dem Rechner eines Opfers installiert werden können.

Laut einer Analyse des Antivirenherstellers Trend Micro besteht das Rootkit aus drei Komponenten: Ntfs.mod, Rkloader.mod und dropper.mod. Ntfs.mod sorgt für den Zugriff auf die von Windows verwendeten NTFS-Partitionen. Diese Komponente hatte der Linux-Entwickler und UEFI-Experte Matthew Garrett bereits kurz nach der Veröffentlichung des Datenfundus des Hacking Teams entdeckt. Ein Teil des Codes stammt offenbar aus bereits vorhandenen Open-Source-Treibern und wurde selbst unter der GPL veröffentlicht.

Drei Komponenten laden Spionagesoftware nach

Rkloader.mod wiederum lädt das NTFS-Modul und die dritte Komponente Dropper.mod. Darin sind die beiden Dateien Scout.exe und Soldier.exe, die Teil des Remote Component Systems (RCS) sind, der Spionagesoftware des Hacking Teams. Installiert wird dann die Komponente Scout.exe, die laut Trend Micro die Spionagesoftware im Debug-Modus startet.

In der Knowledgebase des Hacking Teams heißt es in einem Eintrag vom 11. März 2015, die Installation des Rootkits sei nur auf einem Asus X550C und einem Dell Latitude E6320 getestet worden. Dort wird eine automatische Installation von einem USB-Stick aus beschrieben. Das Hacking Team weist darauf hin, dass Secure Boot ausgeschaltet werden müsse, damit die Installation klappe.

Das Rootkit sei speziell für das Bios des Herstellers Insyde entwickelt worden, schreibt Trend Micro. Das Insyde-Bios sei weitverbreitet. Außerdem geht Trend Micro davon aus, dass das Rootkit sich auch auf Bios-Versionen von AMI nutzen lasse. Dort wird auch eine komplexere Installationsmethode beschrieben - etwa dass ein Angreifer das bestehende Bios auslese und durch ein manipuliertes ersetze. Beide Angriffsvektoren benötigen physischen Zugang zu dem Rechner eines Opfers. Trend Micro könne aber nicht ausschließen, dass das Rootkit auch über das Netzwerk manipuliert werden könne. Neben der Aktivierung von Secure Boot sollte deshalb auch ein Bios-Passwort gesetzt werden.


eye home zur Startseite
logged_in 10. Dez 2015

dass unsere Regierung die unterstützt. Nichts gegen vom BND selbsgebackene Rootkits, aber...

Mik30 17. Jul 2015

Du hast keine Ahnung wovon du redest. 1. Flash Chips werden Blockweise (typisch 32K...

manawyrm 17. Jul 2015

EEPROMs sind das leider schon sehr lange nicht mehr. Ja, früher gab es mal eine seperate...

FreiGeistler 15. Jul 2015

Kompatibilität sicherstellen. Was zwischen unterschiedlichen Mainboards heute+/- 10...

spiderbit 15. Jul 2015

Ja werde ich und wenn sich irgendwo was besseres auf tut bin ich sofort weg. Nur durch...



Anzeige

Stellenmarkt
  1. Vossloh Locomotives GmbH, Kiel
  2. Robert Bosch GmbH, Leonberg
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. Syna GmbH, Frankfurt am Main


Anzeige
Blu-ray-Angebote
  1. (u. a. Der Hobbit 3 für 9,99€ u. Predator für 12,49€)
  2. 18,99€ (ohne Prime bzw. unter 29€-Einkaufswert zzgl. 3€ Versand)
  3. (u. a. Der Marsianer, The Hateful 8, Interstellar, Django Unchained, London Has Fallen, Olympus Has...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Funkchips

    Apple klagt gegen Qualcomm

  2. Die Woche im Video

    B/ow the Wh:st/e!

  3. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  4. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  5. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern

  6. Zaber Sentry

    Mini-ITX-Gehäuse mit 7 Litern Volumen und für 30-cm-Karten

  7. Weltraumteleskop

    Erosita soll Hinweise auf Dunkle Energie finden

  8. Anonymität

    Protonmail ist als Hidden-Service verfügbar

  9. Sicherheitsbehörde

    Zitis soll von München aus Whatsapp knacken

  10. OLG München

    Sharehoster Uploaded.net haftet nicht für Nutzerinhalte



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

Halo Wars 2 angespielt: Mit dem Warthog an die Strategiespielfront
Halo Wars 2 angespielt
Mit dem Warthog an die Strategiespielfront

Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button
  1. Online-Einkauf Amazon startet virtuelle Dash-Buttons

  1. Re: Carpet Bombing musste billiger werden...

    JouMxyzptlk | 11:47

  2. Re: Noch ne Monty Python Nummer...

    HowlingMadMurdock | 11:42

  3. Sollte die Zwangsgebühr (warum auch immer...

    8Bit4ever | 11:40

  4. Re: USB-Soundkarte kostet 2 Euro

    Tremolino | 11:37

  5. Nicht ganz sinnfrei

    tonictrinker | 11:37


  1. 11:21

  2. 09:02

  3. 19:03

  4. 18:45

  5. 18:27

  6. 18:12

  7. 17:57

  8. 17:41


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel