:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5e/f75e227e1311b333bc75726c68a27f93/0111555902.jpeg "Wie Unternehmen mit der Azure Firewall die Sicherheit in der Cloud und im lokalen Netzwerk maximieren, zeigen wir in diesem Video-Tipp. (Bild: kran77 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
TrickBots mit neuen Tricks Schadcode im UEFI
Hacker, die TrickBots verwenden, werden immer raffinierter. Ein neues TrickBot-Modul, mit dem die Malware auch nach einer Neuformatierung bzw. einem Austausch einer Festplatte nicht beseitigt werden kann, beschäftigt die IT-Teams. Welche wirksamen Maßnahmen können ergriffen werden?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die TrickBot-Hacker sind in der IT-Security-Branche auch unter dem Namen „The Trick“ oder „Overdose“ bekannt und gelten derzeit als die gefährlichsten Cyberkriminellen des Internets. Es wird angenommen, dass zu diesem Botnet mehr als eine Million okkupierter Rechner unzähliger Unternehmen, Krankenhäuser und medizinischer Forschungseinrichtungen gehören, in denen Ransomware wie beispielsweise Ryuk und Conti ihr Unwesen treiben.
Umfassend modulares Malware-Ökosystem
Zunächst konzentrierten sich diese Hacker mit ihren Trojaner-Programmen auf Online-Banking-Betrügereien und den Diebstahl von Zugangsdaten. Mittlerweile erweiterten sie ihre Aktivitäten bzw. Funktionalitäten auf ein vollständiges modulares Malware-Ökosystem. Dazu zählen RDP-Scans, laterale Bewegungen durch SMB-Schwachstellen, VNC-basierten Remote-Zugriff u.v.m.
Zuletzt wurde ein neues TrickBot-Modul entdeckt, das es einer Malware ermöglicht, auch nach einer Neuformatierung oder dem Austausch einer Festplatte weiter zu existieren. Des Weiteren versetzt das neue Modul die Malware in die Lage, auf infizierten Systemen nach anfälligen UEFI-Konfigurationen zu suchen und in der Folge Systeme zu blockieren oder Low-Level-Backdoors einzubauen, die nur sehr schwer zu entfernen sind.
Da TrickBot mit Schadcode in das UEFI auf einem Chip außerhalb der Festplatten eindringt, sind die meisten Antivirus-Programme nicht in der Lage, die Malware zu erkennen. Selbst Softwareupdates oder eine vollständige Bereinigung bzw. Neuinstallation bleibt wirkungslos.
Zudem könnte das TrickBot-Modul den okkupierten Rechner „sperren“ und die Firmware soweit beschädigen, indem das Motherboard ersetzt werden müsste. Letztlich sind die Möglichkeiten dann endlos, von der Zerstörung bis zur Übernahme des gesamten Systems. Wenn die Firmware durch den Angreifer dazu verwendet wird, ein Gerät zu zerstören, sind die Szenarien der Wiederherstellung natürlich deutlich anders bzw. schwieriger als die nach einer Verschlüsselung des Dateisystems, wie beispielsweise ein Ransomware-Angriff durch Ryuk erfordern würde.
Persistenz-Bedrohungen durch UEFI-Level-Implantate
Das neue TrickBot-Modul wurde ebenfalls unter dem Namen PermaDll32 bekannt, der auf eine Art Persistenz-Mechanismus hindeutet. Wobei das Modul darauf ausgelegt wurde, Informationen aus dem BIOS bzw. der UEFI-Firmware infizierter Computer zu lesen. Dabei handelt es sich um den Low-Level-Code, der im SPI-Flash-Speicherchip des Motherboards gespeichert ist und die Hardware während des Bootvorgangs initiiert, um dann in der Folge die Kontrolle an das Betriebssystem zu übergeben.
Untersuchungen von AdvIntel und Eclypsium ergaben, dass das PermaDll32-Modul einen Treiber namens RwDrv.sys verwendet, der von RWEverything stammt, einem beliebten kostenlosen Tool, mit dem User die Firmware jeder Hardwarekomponente lesen und beschreiben können, einschließlich des SPI-Controllers, der das UEFI steuert.
Das TrickBot-Modul identifiziert die zugrunde liegende Intel-Hardwareplattform und prüft, ob das BIOS-Kontrollregister entsperrt und der BIOS/UEFI-Schreibschutz aktiviert ist. Damit die gesamte Boot-Kette gesichert wäre, müsste die UEFI-Firmware schreibgeschützt sein. Jedoch haben dies Computer-OEMs in der Vergangenheit oft in den Systemen falsch konfiguriert. Daher war es für Hacker dann sehr leicht, unbemerkt UEFI-Implantate zu integrieren.
Vermutlich sind noch Millionen von Rechner weltweit im Einsatz, die dafür anfällig sind. Im Prinzip zielt das TrickBoot-Modul auf alle Intel-basierten Systeme ab, die in den letzten mehr als fünf Jahren produziert wurden. Dafür genügt nur eine einzeilige Modifikation der aktuellen Implementierung, um das UEFI zu überschreiben und den Computer zu manipulieren.
So ist es gut möglich, dass über den Einsatz der Implantate, die Schadsoftware in den Netzwerken und auf hochwertigen Systemen überlebt, selbst wenn die Festplatten gelöscht und neu importiert werden. Nicht zuletzt, weil die Überprüfung auf Firmware-Kompromittierungen nicht zu einer gängigen Praxis im Rahmen typischer Incident-Response- und Malware-Bereinigungsaktionen gehört.
Hinzu kommt, sobald sich einmal ein bösartiger Code im UEFI befindet, kann er gefälschte Daten an jedes Software-Tool zurückmelden, das versucht, das UEFI zu lesen, und Versuche blockieren, das UEFI zu aktualisieren.
UEFI-Exploits verhindern
Eine der effektivsten Möglichkeiten, solche Angriffe zu verhindern, ist das BIOS/UEFI auf allen Systemen kontinuierlich zu aktualisieren, um sicherzustellen, dass alle bekannten Schwachstellen gepatcht sind.
Leider konzentrieren sich Anwender eher auf Betriebssystem-Updates und vernachlässigen dabei sträflichst die Firmware-Updates. Auf diese Weise hinken sie mit den regelmäßig notwendigen Updates hinterher. Für eine optimierte Vorbeugung sollten Anwender Firmware-Updates in ihre normalen Security-Prozesse miteinbeziehen.
Jedoch werden Firmware-Probleme bei Schwachstellen-Scans nicht zwingend erkannt. Einige Open-Source-Tools wie CHIPSEC oder einige kommerzielle Produkte verfügen über forensische Testfunktionen für verschiedene Hardware-Schnittstellen - einschließlich des UEFI. So können Intrusion-Detection-Systeme auf Host-Ebene einige der Komponenten erkennen.
Zusammenfassend kann konstatiert werden, dass jede größere Schwachstelle, die einem Angreifer einen Vorteil verschafft, in der Regel zuerst von TrickBots und dann von all den anderen Malware- und Ransomware-Gruppen attackiert werden. Somit werden TrickBots den Entwicklungszyklus für die meisten kriminellen Malwares anführen.
(ID:47394689)
:quality(80)/images.vogel.de/vogelonline/bdb/1942300/1942373/original.jpg "Der Secured Core-Server kombiniert Hardware-, Firmware- und Treiberfunktionen unter Windows Server 2022, um die Betriebsumgebung weiter zu schützen – vom Startprozess bis hin zu Daten im Arbeitsspeicher. (Weissblick - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1932200/1932288/original.jpg "10 wichtige Tipps wie man mit Bitlocker und Alternativen Daten unter Windows sicher verschlüsselt, zeigen wir in diesem Video-Artikel. (©Krisztin - stock.adobe.com)")