Cybercrime: Trickbot lernt neuen Trick

Emotet-Infektionen werden zukünftig noch gefährlicher. Denn die nachgeladene Malware könnte sich im BIOS festsetzen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 35 Beiträge

(Bild: Pixels Hunter/Shutterstock.com)

Von
  • Dennis Schirrmacher

Im Gefolge einer Emotet-Infektion landet häufig auch der Schädling Trickbot auf dem System. Dessen Hintermänner sind unter anderem auf Erpressung spezialisiert und haben sich bereits einige Tricks von den staatlichen Akteuren im Geheimdienstumfeld abgeschaut.

So setzt Trickbot EternalBlue ein, um sich in Netzen auszubreiten. Das ist ein Exploit aus dem Werkzeugkasten der NSA. Außerdem kommen Pass-the-Hash-Angriffe mit Tools wie Mimikatz zum Einsatz. Das nutzte etwa die im Umfeld des russischen GRU verortete Gruppe Sofacy (APT28) unter anderem beim Einbruch in den Deutschen Bundestag.

Jetzt haben Sicherheitsforscher von Advanced Intelligence und Eclypsium bei einer Analyse von Trickbot-Samples eine neue, beunruhigende Entdeckung gemacht: ein Modul namens PermaDll stellt Methoden bereit, UEFI/BIOS-Firmware zu inspizieren und zu manipulieren.

Damit kann Trickbot nach Firmware-Schwächen Ausschau halten. Über diese könnte es sich dann dauerhaft im UEFI/BIOS einnisten. Dort überlebt es auch eine komplette Neuinstallation des Rechners oder einen Austausch der Festplatte. Solche sogenannten Bootkits wurden bislang vornehmlich von Geheimdiensten zum Zweck der Cyber-Spionage eingesetzt. So setzte Sofacy das 2018 entdeckte UEFI-Bootkit Lojax als quasi unsichtbare Hintertür ein.

Trickbots neue UEFI-Funktionen tauften die Forscher jetzt Trickboot. Wie bereits zuvor erfand Trickbot dabei das Rad nicht neu, sondern setzt auf bereits bekannte Werkzeuge. In diesem Fall missbraucht es das Tool RWEverything- kurz für Read/Write Everthing - mit dem man unter anderem Firmware analysieren und beschreiben kann.

Bislang setzt Trickbot diese neuen Fähigkeiten anscheinend nur zu Analysezwecken ein. Vermutlich um sich zunächst einen Überblick über die Systeme und deren Schwächen zu verschaffen. Doch bereits "eine Zeile Code könnte dieses Aufklärungsmodul in ein Angriffswerkzeug verwandeln" warnt Eclypsium. Und dann stünde den Cyber-Kriminellen ein ganzes Arsenal von Optionen zur Verfügung.

Sie könnten etwa ihre Lösegeldforderungen dadurch untermauern, dass sie wichtige Systeme irreversibel kaputt machen, indem sie diese auf den Wert eines Backsteins reduzieren ("bricken"). Oder sie hinterlassen bei besonders vielversprechenden Opfern etwa im UEFI-BIOS eines Druckers eine Hintertür, über die sie 1-2 Jahre nach einem Vorfall erneut ins Netz eindringen und einen Nachschlag fordern.

Das bedeutet zum einen, dass zukünftig im Rahmen einer Incident Response nach Emotet/Trickbot-Vorfällen auch nach möglichen Hinterlassenschaften im UEFI/BIOS gesucht werden sollte. Und zum anderen, dass Administratoren in Firmennetzen zukünftig auch die Sicherheit der Firmware aller Geräte im Blick behalten sollten.

Lesen Sie auch

(ju)/ (des)