Abo
  • Services:

Spionagesoftware: Hacking Team nutzt UEFI-Rootkit

Um seine Spionagesoftware permanent auf dem Rechner eines Opfers zu platzieren, nutzt das Hacking Team offenbar auch ein UEFI-Rootkit. Damit lässt sich der Trojaner auch nach einer Neuinstallation des Betriebssystems wieder nutzen.

Artikel veröffentlicht am ,
Über ein UEFI-Rootkit kann Hacking Teams Spionagesoftware nachinstalliert werden.
Über ein UEFI-Rootkit kann Hacking Teams Spionagesoftware nachinstalliert werden. (Bild: Trend Micro)

Im veröffentlichten Datenfundus des Hacking Teams haben mehrere Experten ein UEFI-Rootkit entdeckt. Darüber soll die Spionagesoftware des italienischen Unternehmens auch nach einer Neuinstallation des Betriebssystems wieder auf dem Rechner eines Opfers installiert werden können.

Stellenmarkt
  1. Diamant Software GmbH & Co. KG, Bielefeld
  2. Diehl Metering GmbH, Ansbach / Metropolregion Nürnberg

Laut einer Analyse des Antivirenherstellers Trend Micro besteht das Rootkit aus drei Komponenten: Ntfs.mod, Rkloader.mod und dropper.mod. Ntfs.mod sorgt für den Zugriff auf die von Windows verwendeten NTFS-Partitionen. Diese Komponente hatte der Linux-Entwickler und UEFI-Experte Matthew Garrett bereits kurz nach der Veröffentlichung des Datenfundus des Hacking Teams entdeckt. Ein Teil des Codes stammt offenbar aus bereits vorhandenen Open-Source-Treibern und wurde selbst unter der GPL veröffentlicht.

Drei Komponenten laden Spionagesoftware nach

Rkloader.mod wiederum lädt das NTFS-Modul und die dritte Komponente Dropper.mod. Darin sind die beiden Dateien Scout.exe und Soldier.exe, die Teil des Remote Component Systems (RCS) sind, der Spionagesoftware des Hacking Teams. Installiert wird dann die Komponente Scout.exe, die laut Trend Micro die Spionagesoftware im Debug-Modus startet.

In der Knowledgebase des Hacking Teams heißt es in einem Eintrag vom 11. März 2015, die Installation des Rootkits sei nur auf einem Asus X550C und einem Dell Latitude E6320 getestet worden. Dort wird eine automatische Installation von einem USB-Stick aus beschrieben. Das Hacking Team weist darauf hin, dass Secure Boot ausgeschaltet werden müsse, damit die Installation klappe.

Das Rootkit sei speziell für das Bios des Herstellers Insyde entwickelt worden, schreibt Trend Micro. Das Insyde-Bios sei weitverbreitet. Außerdem geht Trend Micro davon aus, dass das Rootkit sich auch auf Bios-Versionen von AMI nutzen lasse. Dort wird auch eine komplexere Installationsmethode beschrieben - etwa dass ein Angreifer das bestehende Bios auslese und durch ein manipuliertes ersetze. Beide Angriffsvektoren benötigen physischen Zugang zu dem Rechner eines Opfers. Trend Micro könne aber nicht ausschließen, dass das Rootkit auch über das Netzwerk manipuliert werden könne. Neben der Aktivierung von Secure Boot sollte deshalb auch ein Bios-Passwort gesetzt werden.



Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie
  2. 54,99€ mit Vorbesteller-Preisgarantie

logged_in 10. Dez 2015

dass unsere Regierung die unterstützt. Nichts gegen vom BND selbsgebackene Rootkits, aber...

Mik30 17. Jul 2015

Du hast keine Ahnung wovon du redest. 1. Flash Chips werden Blockweise (typisch 32K...

manawyrm 17. Jul 2015

EEPROMs sind das leider schon sehr lange nicht mehr. Ja, früher gab es mal eine seperate...

FreiGeistler 15. Jul 2015

Kompatibilität sicherstellen. Was zwischen unterschiedlichen Mainboards heute+/- 10...

spiderbit 15. Jul 2015

Ja werde ich und wenn sich irgendwo was besseres auf tut bin ich sofort weg. Nur durch...


Folgen Sie uns
       


Sonnet eGFX Box 650W - Test

Die eGFX Box von Sonnet hat 650 Watt und ist ein externes Grafikkarten-Gehäuse. Sie funktioniert mit AMDs Radeon RX Vega 64 und wird per Thunderbolt 3 an ein Notebook angeschlossen. Der Lüfter und das Netzteil sind vergleichsweise leise, der Preis fällt mit 450 Euro recht hoch aus.

Sonnet eGFX Box 650W - Test Video aufrufen
Youtube Music, Deezer und Amazon Music: Musikstreaming buchen ist auf dem iPhone teurer
Youtube Music, Deezer und Amazon Music
Musikstreaming buchen ist auf dem iPhone teurer

Wer seinen Musikstreamingdienst auf einem iPhone oder iPad bucht, muss oftmals mehr bezahlen als andere Kunden. Der Grund liegt darin, dass Apple - außer bei eigenen Diensten - einen Aufschlag von 30 Prozent behält. Spotify hat Konsequenzen gezogen.
Ein Bericht von Ingo Pakalski

  1. Filme und Serien Nutzung von kostenpflichtigem Streaming steigt stark an
  2. Highend-PC-Streaming Man kann sogar die Grafikkarte deaktivieren
  3. Golem.de-Livestream Halbgott oder Despot?

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

Razer Blade 15 im Test: Schlanker 15,6-Zöller für Gamer gefällt uns
Razer Blade 15 im Test
Schlanker 15,6-Zöller für Gamer gefällt uns

Das Razer Blade 15 ist ein gutes Spiele-Notebook mit flottem Display und schneller Geforce-Grafikeinheit. Anders als im 14-Zoll-Formfaktor ist bei den 15,6-Zoll-Modellen die Konkurrenz aber deutlich größer.
Ein Test von Marc Sauter

  1. Gaming-Notebook Razer packt Hexacore und Geforce GTX 1070 ins Blade 15
  2. Razer Blade 2017 im Test Das beste Gaming-Ultrabook nun mit 4K

    •  /