Moonbounce ist eine hartnäckige Malware, die Laufwerkformatierungen und Neuinstallationen des Betriebssystems überleben kann

0
26

Ashwin 25.01.2022 Sicherheit | 1

Eine neue Malware hat in den letzten Tagen Schlagzeilen gemacht. Das Rootkit, das als Moonbounce identifiziert wurde, ist eine hartnäckige Malware, die Laufwerkformatierungen und Neuinstallationen des Betriebssystems überleben kann.

Moonbounce ist eine dauerhafte Malware, die Laufwerkformatierungen und Neuinstallationen des Betriebssystems überstehen kann

< p>Dies ist kein normaler Trojaner oder Virus, der sich auf Windows auswirkt, sondern ein ausgeklügeltes Bootkit, das auf die Firmware Ihres Motherboards abzielt, United Extensible Firmware Interface, allgemein als UEFI abgekürzt. Dadurch überlebt die Malware Änderungen an der Festplatte oder am Betriebssystem. Ihr Motherboard verfügt über einen eigenen Speicherchip, der als Flash-Speicher bezeichnet wird. Dieser SPI-Flash enthält die Software, die zum Starten und Kommunizieren mit dem Rest der Hardware erforderlich ist.

Bild mit freundlicher Genehmigung von Pexels

WERBUNG

Ein Bericht von Kaspersky besagt, dass die Moonbounce-Malware von einer Hackergruppe namens APT41 erstellt wurde. CSOOnline berichtet, dass die Gruppe im Verdacht steht, Verbindungen zur chinesischen Regierung zu haben. Die berüchtigte Cyberspionage-Gruppe ist seit einem Jahrzehnt auch an Cybercrime-Kampagnen auf der ganzen Welt beteiligt. Der russische Antivirenhersteller stellt fest, dass das Firmware-Bootkit erstmals im Frühjahr 2021 entdeckt wurde und dass es fortschrittlicher ist als die beiden vorherigen Malware dieser Art, LoJax und MosaicRegressor. Allerdings wurde die neue Malware bisher nur einmal gefunden.

Hinweis: Viele Leute und sogar OEMs bezeichnen das UEFI als BIOS, obwohl sie sich technisch und funktional unterscheiden, ist letzteres das beliebtere Begriff, da es schon länger her ist. Nennen Sie es wie Sie wollen, aber beide Begriffe beziehen sich auf die Schnittstelle, die verwendet wird, um auf die Firmware-Einstellungen des Motherboards zuzugreifen und diese zu ändern.

Wie erhält Moonbounce Zugriff auf das UEFI?

Moonbounce zielt auf CORE_DXE in der Firmware ab und wird ausgeführt, wenn die UEFI-Startsequenz gestartet wird. Die Malware fängt dann bestimmte Funktionen ab, um sich in das Betriebssystem einzunisten, und ruft einen Command-and-Control-Server an. Dies führt dann dazu, dass eine bösartige Nutzlast aus der Ferne übermittelt wird, um die Sicherheit des Systems zu neutralisieren.

Der Angriff findet statt, wenn eine Firmware-Komponente von der Malware modifiziert wird. Die Hacker können es verwenden, um Benutzer auszuspionieren, Dateien zu archivieren, Netzwerkinformationen zu sammeln usw. Interessanterweise erwähnt der Bericht von Kaspersky, dass es nicht in der Lage war, die Infektion auf der Festplatte zu verfolgen, was bedeutet, dass es im Speicher lief, ohne sich auf Dateien zu verlassen. p> WERBUNG

UEFI-Rootkits können schwierig zu entfernen sein, da Antivirenprogramme außerhalb des Betriebssystems unwirksam sind, aber es ist nicht unmöglich, solche Infektionen vom Motherboard zu entfernen.

Wie man UEFI verhindert Rootkits?

Es gibt ein paar einfache Möglichkeiten, UEFI-Malware wie Moonbounce zu verhindern. Der erste Schritt besteht darin, Secure Boot zu aktivieren. Könnte dies der Grund sein, warum Microsoft TPM 2.0 zur Voraussetzung für Windows 11 gemacht hat? Hier ist ein relevantes Video, in dem ein Microsoft-Sicherheitsexperte die Bedeutung von UEFI, Secure Boot, TPM usw. und ihre Wirksamkeit bei der Bekämpfung von Malware erläutert. Das Hinzufügen eines Passworts für den Zugriff auf das UEFI blockiert nicht autorisierte Firmware-Updates und bietet Ihnen so eine zusätzliche Schutzebene. Wenn Sie Secure Boot oder ein Passwort nicht aktiviert hatten, d.h. wenn alles nach Süden geht, können Sie das UEFI jederzeit neu flashen, um die lästige Malware loszuwerden. Tipp mit freundlicher Genehmigung: reddit

Gehen Sie zur Website Ihres Motherboard- (oder Laptop-)Herstellers und suchen Sie nach dem spezifischen Modell, das Sie haben, prüfen Sie, ob es eine aktualisierte Version gibt, die Sie flashen können. Überprüfen Sie die Informationen noch einmal, um festzustellen, ob das Motherboard-Modell mit dem auf der Website angegebenen übereinstimmt, da das Flashen der falschen Firmware Ihr System beschädigen kann. Sie sollten auch die Verwendung von Treiberaktualisierungsprogrammen vermeiden und sich stattdessen auf Windows-Updates und die Website Ihres Anbieters verlassen, um die Treiber auf dem neuesten Stand zu halten.

ANZEIGE