Abo
  • Services:
Anzeige
Schematische Darstellung des manipulierten Bootvorgangs
Schematische Darstellung des manipulierten Bootvorgangs (Bild: Fireeye)

Nemesis-Bootkit: Neue Malware befällt Finanzinstitute

Schematische Darstellung des manipulierten Bootvorgangs
Schematische Darstellung des manipulierten Bootvorgangs (Bild: Fireeye)

Nemesis befällt bevorzugt Systeme von Finanzinstituten. Die Malware versteckt sich im Volume Boot Record der Festplatte und erstellt sogar eine eigene virtuelle Partition, um ihren Payload zu parken. Sie ist nur schwer zu entdecken und zu entfernen.

Eine neue Malware installiert sich im Bootsektor von PCs und infiziert nach Angaben der Sicherheitsfirma Fireeye vor allem Akteure im Finanzbereich. Mit Hilfe der Bios-Infektion wollen die Angreifer sicherstellen, dass die Malware sich nicht durch eine Neuinstallation des Systems entfernen lässt. Nemesis ist bei weitem nicht die erste Bootloader-Malware, setzt aber einige innovative Techniken ein.

Anzeige

Die Malware-Familie mit dem Namen Nemesis bietet den Angreifern nach Angaben von Fireeye ein breites Spektrum an Werkzeugen: Datentransfer, Bildschirmfotos, Keylogging, Prozessinjektion, Prozessmanipulation und Task Scheduling. Im Rahmen der Kampagne gegen das ungenannte Finanzinstitut sollen die Macher der Malware ihre Software immer wieder upgedatet und mit neuen Funktionen versehen haben.

Persistenz durch Bootsektor-Infektion

Die folgenreichste Neuerung dürfte dabei die Einführung der Infektion des Bios Anfang dieses Jahres gewesen sein - die Fireeye-Forscher nennen dieses Werkzeug Bootrash. Die Malware checkt zunächst den Master Boot Record der Festplatte. Sie kann sich nur auf Systemen mit MBR installieren, Rechner mit Guid-Partitionstabelle und Secure Boot sind nicht anfällig für die Schadsoftware. Aktuelle Rechner mit Windows 10 oder Windows 8 dürften in der Regel daher nicht betroffen sein, weil Windows seit Version 8 in der Vorinstallation mit aktiviertem Secure Boot ausgeliefert wird. Gerade die Finanzindustrie ist aber dafür bekannt, weiterhin ältere Systeme einzusetzen, weil viele der Geldhäuser spezialisierte, proprietäre Software mit begrenzter Kompatibilität einsetzen.

Die Malware checkt außerdem, ob bereits eine Instanz von Nemesis auf dem Rechner läuft. Für eine erfolgreiche Installation wird außerdem Microsofts .Net-Framework in der Version 3.5 benötigt. Der Schadsoftware-Installer speichert eine codierte Sicherungskopie des infizierten VBR ab. Darüber hinaus wird der VBR mit CRC 16-CCITT und MD5 gehasht, um bei einer eventuellen Wiederherstellung der angelegten Sicherheitskopie ein korrektes Abbild zu gewährleisten. Hier sollen also offensichtlich Spuren verwischt werden, wenn der Angriff abgebrochen werden soll.

Der Trojaner erstellt eine eigene virtuelle Partition

Findet die Malware alle Bedingungen vor, installiert sie sich ins Volume Boot Record (VBR) der primären, aktiven Partition. Außerdem erstellt die Malware ein eigenes virtuelles Dateisystem, in dem die für Nemesis benötigten Komponenten gespeichert sind. Diese virtuelle Partition wird nach Angaben von Fireeye in den Zwischenräumen der Partitionen angelegt. Der benötigte Speicherplatz wird mit Hilfe der Windows Management Instrumentation (WMI) berechnet. Die zur Ausführung benötigten Dateien in einer extra angelegten Partition zu verstecken, ist eine Neuentwicklung unter den Bootkits.

Die Komponenten des eigentlichen Nemesis-Trojaners werden im virtuellen Dateisystem abgelegt und während des manipulierten Boot-Vorgangs in den Arbeitsspeicher geladen oder in der Windows-Registry unter HKCU\.Default\Identities als .sys oder .dll Dateien abgelegt. Während des veränderten Boot-Prozesses manipuliert die Malware verschiedene Systemgeräte und verhindert zum Beispiel, dass die CPU in den geschützten Modus wechselt, um sich erweiterte Rechte zu sichern.

Bootkit-Malware ist schwer zu entdecken, weil wesentliche Komponenten des Schadcodes bereits vor dem Start des Betriebssystems geladen werden - normale Integritätschecks des Betriebssystems greifen dann nicht. Die benötigten Komponenten werden außerdem außerhalb der Windows-Dateisysteme gehostet und daher von gängigen Antivirenprogrammen nicht überprüft. Fireeye schreibt den Angriff russischen Akteuren zu - russische Sprache in verschiedenen Programmteilen deute darauf hin. Hier könnte es sich aber natürlich auch um eine bewusst gelegte falsche Fährte handeln.


eye home zur Startseite
Atalanttore 18. Dez 2015

Im Klartext ohne diplomatische Beschönigungen: Die IT-Systeme von Banken werden erst...

Some0NE 09. Dez 2015

Ah dann gibt es mehr Sinn :)

coderookie 09. Dez 2015

Hi, Leider vermisse ich in diesem Artikel ein wenig Sachlichkeit. Einen infizierten...

tibrob 09. Dez 2015

Schade, denn so eine Malware würde dort kaum auffallen.

Äfra 09. Dez 2015

"hijacks bios interrupt" ist nach dem Ausschalten des PCs wieder behoben, oder...



Anzeige

Stellenmarkt
  1. Waldorf Frommer Rechtsanwälte, München
  2. Hirschvogel Holding GmbH, Denklingen
  3. SGH Service GmbH, Hildesheim
  4. thyssenkrupp AG, Essen


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Warcraft Blu-ray 9,29€, Jack Reacher Blu-ray 6,29€, Forrest Gump 6,29€, Der Soldat...
  3. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  2. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  3. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  4. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  5. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  6. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  7. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  8. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  9. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  10. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Computerspiele und Psyche Wie Computerspieler zu Süchtigen erklärt werden sollen
  2. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  3. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

  1. Re: Passwort-Manager als Abo!?

    picaschaf | 23:37

  2. Re: Gutes Konzept... schrottiges OS, und dann 4000¤

    unbuntu | 23:28

  3. Re: Warum überhaupt VLC nutzen

    unbuntu | 23:23

  4. Re: Grafikbox so gross wie PC?

    ecv | 23:22

  5. Nachtrag zur Haltbarkeit

    as (Golem.de) | 23:13


  1. 18:58

  2. 18:20

  3. 17:59

  4. 17:44

  5. 17:20

  6. 16:59

  7. 16:30

  8. 15:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel