ESET entwickelt Technologie zur Erkennung von UEFI-Bedrohungen

Nächste PM

Jena, 8. Oktober 2019 – Spätestens seit ESET-Forscher vergangenes Jahr das erste UEFI-Rootkit namens Lojax entdeckt haben, ist die Sicherheit des BIOS-Nachfolgers UEFI (Unified Extensible Firmware Interface) ein heißes Thema. Bislang war das Aufspüren dieser speziellen Schädlinge mühsam. Nun entwickelten ESET-Spezialisten ein System, das ihnen ermöglicht, die riesige UEFI-Landschaft effizient zu erforschen und gleichzeitig neue wie unbekannte Bedrohungen in diesem Bereich zuverlässig zu erkennen.

„Malware wie Lojax zu finden, ist selten. Es gibt Millionen von ausführbaren UEFI-Dateien und nur ein winziger Teil davon ist bösartig“, erklärt Filip Mazán, Software-Ingenieur bei ESET. „Unser Fokus war es ein System zu schaffen, das ungewöhnliche Merkmale in ausführbaren UEFI-Dateien aufspürt.“

Machine Learning unterstützt Analysten

Ausgehend von den Telemetriedaten, die seitens ESET vom UEFI-Scanner gesammelt wurden, entwickelten Spezialisten für maschinelles Lernen und Malware-Forscher eine maßgeschneiderte Verarbeitungspipeline für ausführbare UEFI-Dateien. Sie setzt auf maschinelles Lernen, um ungewöhnliche Muster in den untersuchten Dateien zu finden.  Diese Automatisierung unterstützt auch die ESET Analysten. Sie müssen dadurch viel weniger selbst aktiv werden und haben dadurch mehr Zeit, neue Schadprogramme genau zu untersuchen.

ASUS-Backdoor über die Technologie entdeckt

"Obwohl unsere ausführbare UEFI-Verarbeitungspipeline noch nicht dazu geführt hat, neue UEFI-Malware zu finden, sind die bisherigen Ergebnisse vielversprechend", sagt Jean-Ian Boutin, Senior Malware Researcher bei ESET. Auf der Suche nach UEFI-Bedrohungen entdeckten ESET-Forscher über dieses System mehrere interessante Komponenten, die in zwei Kategorien unterteilt werden können - Firmware-Backdoors und Persistenzmodule auf Betriebssystemebene. Die bemerkenswerteste Entdeckung ist die ASUS-Backdoor: eine UEFI-Firmware-Backdoor, die in mehreren ASUS-Laptopmodellen zu finden ist und vom Hersteller nach Benachrichtigung von ESET entfernt wurde. 

Weitere Informationen und ein Whitepaper haben die ESET Forscher auf WeLiveSecurity veröffentlicht: https://www.welivesecurity.com/2019/10/08/needles-haystack-unwanted-uefi-components/

Pressekontakt

Christian Lueg
Head of Communication & PR DACH

christian.lueg@eset.com

Michael Klatte
PR-Manager

michael.klatte@eset.com

Philipp Plum
PR-Manager

philipp.plum@eset.com

Über ESET

Der europäische IT-Sicherheitshersteller ESET mit Hauptsitz in Bratislava (Slowakei) bietet hochmoderne digitale Security-Lösungen, um Angriffe zu verhindern, bevor sie passieren. Ob Endpoint-, Cloud- oder mobiler Schutz – durch die Kombination aus Künstlicher Intelligenz und menschlicher Expertise sichert ESET Unternehmen, kritische Infrastrukturen und Privatpersonen effektiv ab.  Die Technologien „Made in EU“ sorgen für zuverlässige Erkennung und Reaktion, extrem sichere Verschlüsselung und Multi-Faktor-Authentifizierung. ESET verfügt über weltweite Forschungs- und Entwicklungszentren und ein starkes internationales Partnernetzwerk in über 200 Ländern und Regionen.