Jena, 8. Oktober 2019 – Spätestens seit ESET-Forscher vergangenes Jahr das erste UEFI-Rootkit namens Lojax entdeckt haben, ist die Sicherheit des BIOS-Nachfolgers UEFI (Unified Extensible Firmware Interface) ein heißes Thema. Bislang war das Aufspüren dieser speziellen Schädlinge mühsam. Nun entwickelten ESET-Spezialisten ein System, das ihnen ermöglicht, die riesige UEFI-Landschaft effizient zu erforschen und gleichzeitig neue wie unbekannte Bedrohungen in diesem Bereich zuverlässig zu erkennen.
„Malware wie Lojax zu finden, ist selten. Es gibt Millionen von ausführbaren UEFI-Dateien und nur ein winziger Teil davon ist bösartig“, erklärt Filip Mazán, Software-Ingenieur bei ESET. „Unser Fokus war es ein System zu schaffen, das ungewöhnliche Merkmale in ausführbaren UEFI-Dateien aufspürt.“
Machine Learning unterstützt Analysten
Ausgehend von den Telemetriedaten, die seitens ESET vom UEFI-Scanner gesammelt wurden, entwickelten Spezialisten für maschinelles Lernen und Malware-Forscher eine maßgeschneiderte Verarbeitungspipeline für ausführbare UEFI-Dateien. Sie setzt auf maschinelles Lernen, um ungewöhnliche Muster in den untersuchten Dateien zu finden. Diese Automatisierung unterstützt auch die ESET Analysten. Sie müssen dadurch viel weniger selbst aktiv werden und haben dadurch mehr Zeit, neue Schadprogramme genau zu untersuchen.
ASUS-Backdoor über die Technologie entdeckt
"Obwohl unsere ausführbare UEFI-Verarbeitungspipeline noch nicht dazu geführt hat, neue UEFI-Malware zu finden, sind die bisherigen Ergebnisse vielversprechend", sagt Jean-Ian Boutin, Senior Malware Researcher bei ESET. Auf der Suche nach UEFI-Bedrohungen entdeckten ESET-Forscher über dieses System mehrere interessante Komponenten, die in zwei Kategorien unterteilt werden können - Firmware-Backdoors und Persistenzmodule auf Betriebssystemebene. Die bemerkenswerteste Entdeckung ist die ASUS-Backdoor: eine UEFI-Firmware-Backdoor, die in mehreren ASUS-Laptopmodellen zu finden ist und vom Hersteller nach Benachrichtigung von ESET entfernt wurde.
Weitere Informationen und ein Whitepaper haben die ESET Forscher auf WeLiveSecurity veröffentlicht: https://www.welivesecurity.com/2019/10/08/needles-haystack-unwanted-uefi-components/