Abo
  • Services:
Anzeige
Schematische Darstellung des manipulierten Bootvorgangs
Schematische Darstellung des manipulierten Bootvorgangs (Bild: Fireeye)

Nemesis-Bootkit: Neue Malware befällt Finanzinstitute

Schematische Darstellung des manipulierten Bootvorgangs
Schematische Darstellung des manipulierten Bootvorgangs (Bild: Fireeye)

Nemesis befällt bevorzugt Systeme von Finanzinstituten. Die Malware versteckt sich im Volume Boot Record der Festplatte und erstellt sogar eine eigene virtuelle Partition, um ihren Payload zu parken. Sie ist nur schwer zu entdecken und zu entfernen.

Eine neue Malware installiert sich im Bootsektor von PCs und infiziert nach Angaben der Sicherheitsfirma Fireeye vor allem Akteure im Finanzbereich. Mit Hilfe der Bios-Infektion wollen die Angreifer sicherstellen, dass die Malware sich nicht durch eine Neuinstallation des Systems entfernen lässt. Nemesis ist bei weitem nicht die erste Bootloader-Malware, setzt aber einige innovative Techniken ein.

Anzeige

Die Malware-Familie mit dem Namen Nemesis bietet den Angreifern nach Angaben von Fireeye ein breites Spektrum an Werkzeugen: Datentransfer, Bildschirmfotos, Keylogging, Prozessinjektion, Prozessmanipulation und Task Scheduling. Im Rahmen der Kampagne gegen das ungenannte Finanzinstitut sollen die Macher der Malware ihre Software immer wieder upgedatet und mit neuen Funktionen versehen haben.

Persistenz durch Bootsektor-Infektion

Die folgenreichste Neuerung dürfte dabei die Einführung der Infektion des Bios Anfang dieses Jahres gewesen sein - die Fireeye-Forscher nennen dieses Werkzeug Bootrash. Die Malware checkt zunächst den Master Boot Record der Festplatte. Sie kann sich nur auf Systemen mit MBR installieren, Rechner mit Guid-Partitionstabelle und Secure Boot sind nicht anfällig für die Schadsoftware. Aktuelle Rechner mit Windows 10 oder Windows 8 dürften in der Regel daher nicht betroffen sein, weil Windows seit Version 8 in der Vorinstallation mit aktiviertem Secure Boot ausgeliefert wird. Gerade die Finanzindustrie ist aber dafür bekannt, weiterhin ältere Systeme einzusetzen, weil viele der Geldhäuser spezialisierte, proprietäre Software mit begrenzter Kompatibilität einsetzen.

Die Malware checkt außerdem, ob bereits eine Instanz von Nemesis auf dem Rechner läuft. Für eine erfolgreiche Installation wird außerdem Microsofts .Net-Framework in der Version 3.5 benötigt. Der Schadsoftware-Installer speichert eine codierte Sicherungskopie des infizierten VBR ab. Darüber hinaus wird der VBR mit CRC 16-CCITT und MD5 gehasht, um bei einer eventuellen Wiederherstellung der angelegten Sicherheitskopie ein korrektes Abbild zu gewährleisten. Hier sollen also offensichtlich Spuren verwischt werden, wenn der Angriff abgebrochen werden soll.

Der Trojaner erstellt eine eigene virtuelle Partition

Findet die Malware alle Bedingungen vor, installiert sie sich ins Volume Boot Record (VBR) der primären, aktiven Partition. Außerdem erstellt die Malware ein eigenes virtuelles Dateisystem, in dem die für Nemesis benötigten Komponenten gespeichert sind. Diese virtuelle Partition wird nach Angaben von Fireeye in den Zwischenräumen der Partitionen angelegt. Der benötigte Speicherplatz wird mit Hilfe der Windows Management Instrumentation (WMI) berechnet. Die zur Ausführung benötigten Dateien in einer extra angelegten Partition zu verstecken, ist eine Neuentwicklung unter den Bootkits.

Die Komponenten des eigentlichen Nemesis-Trojaners werden im virtuellen Dateisystem abgelegt und während des manipulierten Boot-Vorgangs in den Arbeitsspeicher geladen oder in der Windows-Registry unter HKCU\.Default\Identities als .sys oder .dll Dateien abgelegt. Während des veränderten Boot-Prozesses manipuliert die Malware verschiedene Systemgeräte und verhindert zum Beispiel, dass die CPU in den geschützten Modus wechselt, um sich erweiterte Rechte zu sichern.

Bootkit-Malware ist schwer zu entdecken, weil wesentliche Komponenten des Schadcodes bereits vor dem Start des Betriebssystems geladen werden - normale Integritätschecks des Betriebssystems greifen dann nicht. Die benötigten Komponenten werden außerdem außerhalb der Windows-Dateisysteme gehostet und daher von gängigen Antivirenprogrammen nicht überprüft. Fireeye schreibt den Angriff russischen Akteuren zu - russische Sprache in verschiedenen Programmteilen deute darauf hin. Hier könnte es sich aber natürlich auch um eine bewusst gelegte falsche Fährte handeln.


eye home zur Startseite
Atalanttore 18. Dez 2015

Im Klartext ohne diplomatische Beschönigungen: Die IT-Systeme von Banken werden erst...

Some0NE 09. Dez 2015

Ah dann gibt es mehr Sinn :)

coderookie 09. Dez 2015

Hi, Leider vermisse ich in diesem Artikel ein wenig Sachlichkeit. Einen infizierten...

tibrob 09. Dez 2015

Schade, denn so eine Malware würde dort kaum auffallen.

Äfra 09. Dez 2015

"hijacks bios interrupt" ist nach dem Ausschalten des PCs wieder behoben, oder...



Anzeige

Stellenmarkt
  1. Energiedienst Holding AG, Rheinfelden
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. OSRAM GmbH, Garching bei München
  4. Daimler AG, Stuttgart


Anzeige
Spiele-Angebote
  1. 6,99€
  2. 22,99€
  3. 19,99€

Folgen Sie uns
       


  1. Royal Navy

    Hubschrauber mit USB-Stick sucht Netzwerkanschluss

  2. Class-Action-Lawsuit

    Hunderte Ex-Mitarbeiter verklagen Blackberry

  3. Rivatuner Statistics Server

    Afterburner unterstützt Vulkan und bald die UWP

  4. Onlinewerbung

    Youtube will nervige 30-Sekunden-Spots stoppen

  5. SpaceX

    Start von Trägerrakete Falcon 9 verschoben

  6. Hawkeye

    ZTE bricht Crowdfunding-Kampagne ab

  7. FTTH per NG-PON2

    10 GBit/s für Endnutzer in Neuseeland erfolgreich getestet

  8. Smartphones

    FCC-Chef fordert Aktivierung ungenutzter UKW-Radios

  9. Die Woche im Video

    Die Selbstzerstörungssequenz ist aktiviert

  10. Merkels NSA-Vernehmung

    Die unerträgliche Uninformiertheit der Kanzlerin



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Schiffbruch auf der Milchstraße für mobile Spieler
Mobile-Games-Auslese
Schiffbruch auf der Milchstraße für mobile Spieler

München: Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
München
Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
  1. US-Präsident Zuck it, Trump!
  2. Begnadigung Danke, Chelsea Manning!
  3. Glasfaser Nun hängt die Kabel doch endlich auf!

Pure Audio: Blu-ray-Audioformate kommen nicht aus der Nische
Pure Audio
Blu-ray-Audioformate kommen nicht aus der Nische

  1. Re: hmmm

    SJ | 12:56

  2. Re: Ham se sich bei einem großen deutschen...

    ThorstenMUC | 12:42

  3. Re: Die 30 sek spots...

    TwoPlayer | 12:41

  4. Re: Zerstörung erfolgt mit Hammer

    Kirschkuchen | 12:40

  5. Re: Und wo liegt nun der Unterschied zu Alexa?

    Rulf | 12:39


  1. 12:11

  2. 11:29

  3. 11:09

  4. 10:47

  5. 18:28

  6. 14:58

  7. 14:16

  8. 12:49


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel