Blog

Neue Ransomware über BIOS/UEFI

Posted by Maciej Golik on 17 März, 2017  /  techblog

BIOS- und UEFI-Schädlinge sind an sich nichts Neues, doch in Verbindung mit Lösegeldforderungen sind diese bisher selten in Erscheinung getreten. Auf der vor Kurzem gezeigten RSA Conference Präsentation „Hacking Exposed“ wurden sie auf einem vollständig gepatchten Windows 10 mit eingeschalteten Sicherheits-Features dennoch erfolgreich demonstriert.

Die Infektion geschieht wie üblich beispielsweise über ein Word-Dokument, welches über VBA- und PowerShell-Skripte einen sogenannten „Dropper“ herunter lädt. Dieser Dropper lädt dann ein BIOS-/UEFI-Update-Tool herunter, welches durch eine Bestätigung vom Benutzer installiert wird.

Danach ist es durch das Ausnutzen von Exploits möglich den Schreibschutz des Flash-Speichers zu umgehen. Verhindert werden kann die Attacke nur von den Motherboard-Herstellern durch ein bspw. zweites BIOS, welches bei Unstimmigkeiten die manipulierte Hardware wieder überschreibt.

 

Quelle: https://www.heise.de/security/meldung/BIOS-UEFI-mit-Ransomware-infiziert-3630662.html

  • CCVOSSEL GmbH