Abo
  • Services:

Nemesis-Bootkit: Neue Malware befällt Finanzinstitute

Nemesis befällt bevorzugt Systeme von Finanzinstituten. Die Malware versteckt sich im Volume Boot Record der Festplatte und erstellt sogar eine eigene virtuelle Partition, um ihren Payload zu parken. Sie ist nur schwer zu entdecken und zu entfernen.

Artikel veröffentlicht am ,
Schematische Darstellung des manipulierten Bootvorgangs
Schematische Darstellung des manipulierten Bootvorgangs (Bild: Fireeye)

Eine neue Malware installiert sich im Bootsektor von PCs und infiziert nach Angaben der Sicherheitsfirma Fireeye vor allem Akteure im Finanzbereich. Mit Hilfe der Bios-Infektion wollen die Angreifer sicherstellen, dass die Malware sich nicht durch eine Neuinstallation des Systems entfernen lässt. Nemesis ist bei weitem nicht die erste Bootloader-Malware, setzt aber einige innovative Techniken ein.

Stellenmarkt
  1. Robert-Bosch-Krankenhaus GmbH, Stuttgart
  2. Robert Bosch GmbH, Stuttgart-Feuerbach

Die Malware-Familie mit dem Namen Nemesis bietet den Angreifern nach Angaben von Fireeye ein breites Spektrum an Werkzeugen: Datentransfer, Bildschirmfotos, Keylogging, Prozessinjektion, Prozessmanipulation und Task Scheduling. Im Rahmen der Kampagne gegen das ungenannte Finanzinstitut sollen die Macher der Malware ihre Software immer wieder upgedatet und mit neuen Funktionen versehen haben.

Persistenz durch Bootsektor-Infektion

Die folgenreichste Neuerung dürfte dabei die Einführung der Infektion des Bios Anfang dieses Jahres gewesen sein - die Fireeye-Forscher nennen dieses Werkzeug Bootrash. Die Malware checkt zunächst den Master Boot Record der Festplatte. Sie kann sich nur auf Systemen mit MBR installieren, Rechner mit Guid-Partitionstabelle und Secure Boot sind nicht anfällig für die Schadsoftware. Aktuelle Rechner mit Windows 10 oder Windows 8 dürften in der Regel daher nicht betroffen sein, weil Windows seit Version 8 in der Vorinstallation mit aktiviertem Secure Boot ausgeliefert wird. Gerade die Finanzindustrie ist aber dafür bekannt, weiterhin ältere Systeme einzusetzen, weil viele der Geldhäuser spezialisierte, proprietäre Software mit begrenzter Kompatibilität einsetzen.

Die Malware checkt außerdem, ob bereits eine Instanz von Nemesis auf dem Rechner läuft. Für eine erfolgreiche Installation wird außerdem Microsofts .Net-Framework in der Version 3.5 benötigt. Der Schadsoftware-Installer speichert eine codierte Sicherungskopie des infizierten VBR ab. Darüber hinaus wird der VBR mit CRC 16-CCITT und MD5 gehasht, um bei einer eventuellen Wiederherstellung der angelegten Sicherheitskopie ein korrektes Abbild zu gewährleisten. Hier sollen also offensichtlich Spuren verwischt werden, wenn der Angriff abgebrochen werden soll.

Der Trojaner erstellt eine eigene virtuelle Partition

Findet die Malware alle Bedingungen vor, installiert sie sich ins Volume Boot Record (VBR) der primären, aktiven Partition. Außerdem erstellt die Malware ein eigenes virtuelles Dateisystem, in dem die für Nemesis benötigten Komponenten gespeichert sind. Diese virtuelle Partition wird nach Angaben von Fireeye in den Zwischenräumen der Partitionen angelegt. Der benötigte Speicherplatz wird mit Hilfe der Windows Management Instrumentation (WMI) berechnet. Die zur Ausführung benötigten Dateien in einer extra angelegten Partition zu verstecken, ist eine Neuentwicklung unter den Bootkits.

Die Komponenten des eigentlichen Nemesis-Trojaners werden im virtuellen Dateisystem abgelegt und während des manipulierten Boot-Vorgangs in den Arbeitsspeicher geladen oder in der Windows-Registry unter HKCU\.Default\Identities als .sys oder .dll Dateien abgelegt. Während des veränderten Boot-Prozesses manipuliert die Malware verschiedene Systemgeräte und verhindert zum Beispiel, dass die CPU in den geschützten Modus wechselt, um sich erweiterte Rechte zu sichern.

Bootkit-Malware ist schwer zu entdecken, weil wesentliche Komponenten des Schadcodes bereits vor dem Start des Betriebssystems geladen werden - normale Integritätschecks des Betriebssystems greifen dann nicht. Die benötigten Komponenten werden außerdem außerhalb der Windows-Dateisysteme gehostet und daher von gängigen Antivirenprogrammen nicht überprüft. Fireeye schreibt den Angriff russischen Akteuren zu - russische Sprache in verschiedenen Programmteilen deute darauf hin. Hier könnte es sich aber natürlich auch um eine bewusst gelegte falsche Fährte handeln.



Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie
  2. 4,99€
  3. (-43%) 11,49€

Atalanttore 18. Dez 2015

Im Klartext ohne diplomatische Beschönigungen: Die IT-Systeme von Banken werden erst...

Some0NE 09. Dez 2015

Ah dann gibt es mehr Sinn :)

coderookie 09. Dez 2015

Hi, Leider vermisse ich in diesem Artikel ein wenig Sachlichkeit. Einen infizierten...

tibrob 09. Dez 2015

Schade, denn so eine Malware würde dort kaum auffallen.

Äfra 09. Dez 2015

"hijacks bios interrupt" ist nach dem Ausschalten des PCs wieder behoben, oder...


Folgen Sie uns
       


AMD Athlon 200GE - Test

Der Athlon 200GE ist ein 55 Euro günstiger Chip für den Sockel AM4. Er konkurriert daher mit Intels Celeron G4900 und Pentium G5400. Dank zwei Kernen mit SMT und 3,2 GHz sowie einer Vega-3-Grafikeinheit schlägt er beide Prozessoren in CPU-Benchmarks und ist schneller in Spielen, wenn diese auf der iGPU laufen.

AMD Athlon 200GE - Test Video aufrufen
Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Auftragsfertiger Samsung startet 7LPP-Herstellung mit EUV
  2. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  3. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor

Campusnetze: Das teure Versäumnis der Telekom
Campusnetze
Das teure Versäumnis der Telekom

Die Deutsche Telekom muss anderen Konzernen bei 5G-Campusnetzen entgegenkommen. Jahrzehntelang von Funklöchern auf dem Lande geplagt, wollen Siemens und die Automobilindustrie nun selbst Mobilfunknetze aufspannen. Auch der öffentliche Rundfunk will selbst 5G machen.
Eine Analyse von Achim Sawall

  1. 5G Telekom hat ihr Mobilfunknetz mit Glasfaser versorgt
  2. Stadtnetzbetreiber 5G-Netz kann auch aus der Box kommen
  3. Achim Berg "In Sachen Gigabit ist Deutschland ein großer weißer Fleck"

    •  /