Bootkits, Windigo und Virus Bulletin 2014

In der vergangenen Woche fand vom 24. bis zum 26. September die 24ste Virus Bulletin International Conference in Seattle statt. Zunächst möchte ich Pierre-Marc Bureau und seinen Kollegen Olivier Bilodeau, Joan Calvet, Alexis Dorais-Joncas, Marc-Etienne Léveillé und Benjamin Vanheuverzwijn herzlich gratulieren. Sie sind die ersten Gewinner des Péter Szőr Awards für ihre Forschung zu Operation Windigo, einer Zugangsdaten stehlenden, serverseitigen Linux-Malware. Der angesehene Autor und Forscher Péter Szőr ist im letzten Jahr verstorben. Sein Werk The Art of Computer Virus Research and Defense gehört zu den Klassikern im Bereich der Malware-Literatur.

Zudem hatten Eugene Rodionoy, Alexander Matrosov (jetzt bei Intel) und meine Wenigkeit die Ehre, auf der Konferenz einen Vortrag halten zu dürfen – Bootkits: Past, Present and Future. Ziel der Präsentation war es, die bisherige Entwicklung von Bootkit-Bedrohungen aufzuzeigen und auf mögliche zukünftige Szenarien einzugehen.

Dafür haben wir zunächst zusammengefasst, was wir in der Vergangenheit über Bootkits lernen konnten, die sich in freier Wildbahn befanden und Microsoft Windows angegriffen haben: von TDL4 und Rovnix (welches vom Carberp Banking-Trojaner genutzt wurde) bis hin zu Gapz (welches eine der am besten getarnten Bootkit-Infizierungstechniken verwendet, die wir bisher gesehen haben). Zudem haben wir uns mit den Infizierungsansätzen und den Methoden zur Umgehung einer Erkennung oder Entfernung dieser Bootkit-Varianten auseinandergesetzt.

In einem weiteren Schritt haben wir uns mit der Sicherheit der immer beliebter werdenden UEFI-Plattform auseinandergesetzt – und zwar aus Sicht eines Bootkit-Schreibers. Proof-of-Concept-Bootkits, die Windows 8 angreifen, welches UEFI nutzt, wurden bereits veröffentlicht. Wir haben uns auf verschiedene Angriffsvektoren gegen UEFI konzentriert und verfügbare Methoden besprochen, sowie die Frage, welche Maßnahmen vorgenommen werden sollten, um die Bedrohung einzuschränken.

Für Interessierte ist der komplette Artikel auf der Webseite von Virus Bulletin verfügbar.

Picture Credits: ©Seth Sawyers/Flickr

Autor David Harley, ESET