Abo
  • Services:
Anzeige
Schematische Darstellung des manipulierten Bootvorgangs
Schematische Darstellung des manipulierten Bootvorgangs (Bild: Fireeye)

Nemesis-Bootkit: Neue Malware befällt Finanzinstitute

Schematische Darstellung des manipulierten Bootvorgangs
Schematische Darstellung des manipulierten Bootvorgangs (Bild: Fireeye)

Nemesis befällt bevorzugt Systeme von Finanzinstituten. Die Malware versteckt sich im Volume Boot Record der Festplatte und erstellt sogar eine eigene virtuelle Partition, um ihren Payload zu parken. Sie ist nur schwer zu entdecken und zu entfernen.

Eine neue Malware installiert sich im Bootsektor von PCs und infiziert nach Angaben der Sicherheitsfirma Fireeye vor allem Akteure im Finanzbereich. Mit Hilfe der Bios-Infektion wollen die Angreifer sicherstellen, dass die Malware sich nicht durch eine Neuinstallation des Systems entfernen lässt. Nemesis ist bei weitem nicht die erste Bootloader-Malware, setzt aber einige innovative Techniken ein.

Anzeige

Die Malware-Familie mit dem Namen Nemesis bietet den Angreifern nach Angaben von Fireeye ein breites Spektrum an Werkzeugen: Datentransfer, Bildschirmfotos, Keylogging, Prozessinjektion, Prozessmanipulation und Task Scheduling. Im Rahmen der Kampagne gegen das ungenannte Finanzinstitut sollen die Macher der Malware ihre Software immer wieder upgedatet und mit neuen Funktionen versehen haben.

Persistenz durch Bootsektor-Infektion

Die folgenreichste Neuerung dürfte dabei die Einführung der Infektion des Bios Anfang dieses Jahres gewesen sein - die Fireeye-Forscher nennen dieses Werkzeug Bootrash. Die Malware checkt zunächst den Master Boot Record der Festplatte. Sie kann sich nur auf Systemen mit MBR installieren, Rechner mit Guid-Partitionstabelle und Secure Boot sind nicht anfällig für die Schadsoftware. Aktuelle Rechner mit Windows 10 oder Windows 8 dürften in der Regel daher nicht betroffen sein, weil Windows seit Version 8 in der Vorinstallation mit aktiviertem Secure Boot ausgeliefert wird. Gerade die Finanzindustrie ist aber dafür bekannt, weiterhin ältere Systeme einzusetzen, weil viele der Geldhäuser spezialisierte, proprietäre Software mit begrenzter Kompatibilität einsetzen.

Die Malware checkt außerdem, ob bereits eine Instanz von Nemesis auf dem Rechner läuft. Für eine erfolgreiche Installation wird außerdem Microsofts .Net-Framework in der Version 3.5 benötigt. Der Schadsoftware-Installer speichert eine codierte Sicherungskopie des infizierten VBR ab. Darüber hinaus wird der VBR mit CRC 16-CCITT und MD5 gehasht, um bei einer eventuellen Wiederherstellung der angelegten Sicherheitskopie ein korrektes Abbild zu gewährleisten. Hier sollen also offensichtlich Spuren verwischt werden, wenn der Angriff abgebrochen werden soll.

Der Trojaner erstellt eine eigene virtuelle Partition

Findet die Malware alle Bedingungen vor, installiert sie sich ins Volume Boot Record (VBR) der primären, aktiven Partition. Außerdem erstellt die Malware ein eigenes virtuelles Dateisystem, in dem die für Nemesis benötigten Komponenten gespeichert sind. Diese virtuelle Partition wird nach Angaben von Fireeye in den Zwischenräumen der Partitionen angelegt. Der benötigte Speicherplatz wird mit Hilfe der Windows Management Instrumentation (WMI) berechnet. Die zur Ausführung benötigten Dateien in einer extra angelegten Partition zu verstecken, ist eine Neuentwicklung unter den Bootkits.

Die Komponenten des eigentlichen Nemesis-Trojaners werden im virtuellen Dateisystem abgelegt und während des manipulierten Boot-Vorgangs in den Arbeitsspeicher geladen oder in der Windows-Registry unter HKCU\.Default\Identities als .sys oder .dll Dateien abgelegt. Während des veränderten Boot-Prozesses manipuliert die Malware verschiedene Systemgeräte und verhindert zum Beispiel, dass die CPU in den geschützten Modus wechselt, um sich erweiterte Rechte zu sichern.

Bootkit-Malware ist schwer zu entdecken, weil wesentliche Komponenten des Schadcodes bereits vor dem Start des Betriebssystems geladen werden - normale Integritätschecks des Betriebssystems greifen dann nicht. Die benötigten Komponenten werden außerdem außerhalb der Windows-Dateisysteme gehostet und daher von gängigen Antivirenprogrammen nicht überprüft. Fireeye schreibt den Angriff russischen Akteuren zu - russische Sprache in verschiedenen Programmteilen deute darauf hin. Hier könnte es sich aber natürlich auch um eine bewusst gelegte falsche Fährte handeln.


eye home zur Startseite
Atalanttore 18. Dez 2015

Im Klartext ohne diplomatische Beschönigungen: Die IT-Systeme von Banken werden erst...

Some0NE 09. Dez 2015

Ah dann gibt es mehr Sinn :)

coderookie 09. Dez 2015

Hi, Leider vermisse ich in diesem Artikel ein wenig Sachlichkeit. Einen infizierten...

tibrob 09. Dez 2015

Schade, denn so eine Malware würde dort kaum auffallen.

Äfra 09. Dez 2015

"hijacks bios interrupt" ist nach dem Ausschalten des PCs wieder behoben, oder...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. NORD-MICRO GmbH & Co. OHG, Frankfurt am Main
  3. ETAS GmbH, Stuttgart
  4. PHOENIX CONTACT Software GmbH, Lemgo


Anzeige
Spiele-Angebote
  1. (-10%) 35,99€
  2. 197,99€

Folgen Sie uns
       


  1. Smartphones

    Huawei installiert ungefragt Zusatz-App

  2. Android 8.0

    Oreo-Update für Oneplus Three und 3T ist da

  3. Musikstreaming

    Amazon Music für Android unterstützt Google Cast

  4. Staingate

    Austauschprogramm für fleckige Macbooks wird verlängert

  5. Digitale Infrastruktur

    Ralph Dommermuth kritisiert deutsche Netzpolitik

  6. Elektroauto

    VW will weitere Milliarden in Elektromobilität investieren

  7. Elektroauto

    Walmart will den Tesla-Truck

  8. Die Woche im Video

    Ausgefuchst, abgezockt und abgefahren

  9. Siri-Lautsprecher

    Apple versemmelt den Homepod-Start

  10. Open Routing

    Facebook gibt interne Plattform für Backbone-Routing frei



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smartphoneversicherungen im Überblick: Teuer und meistens überflüssig
Smartphoneversicherungen im Überblick
Teuer und meistens überflüssig
  1. Winphone 5.0 Trekstor will es nochmal mit Windows 10 Mobile versuchen
  2. Librem 5 Das freie Linux-Smartphone ist finanziert
  3. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor

Erneuerbare Energien: Siemens leitet die neue Steinzeit ein
Erneuerbare Energien
Siemens leitet die neue Steinzeit ein
  1. Siemens und Schunk Akkufahrzeuge werden mit 600 bis 1.000 Kilowatt aufgeladen
  2. Parkplatz-Erkennung Bosch und Siemens scheitern mit Pilotprojekten

Cubesats: Startup steuert riesigen Satellitenschwarm von Berlin aus
Cubesats
Startup steuert riesigen Satellitenschwarm von Berlin aus
  1. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  2. SAEx Internet-Seekabel für Südatlantikinsel St. Helena
  3. Sputnik Piep, piep, kleiner Satellit

  1. Re: kaum hat man sich

    LinuxMcBook | 02:27

  2. Re: Macht ruhig weiter, Vivendi

    Vaako | 02:16

  3. Re: Frontantrieb...

    holgerscherer | 02:14

  4. Re: Nicht für den Straßenverkehr

    gs (Golem.de) | 02:13

  5. Re: Witzig. Wieder ein E-Auto bericht von Leuten...

    holgerscherer | 02:00


  1. 11:55

  2. 11:21

  3. 10:43

  4. 17:14

  5. 13:36

  6. 12:22

  7. 10:48

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel