ESET entwickelt Technologie zur Erkennung von UEFI-Bedrohungen
Posted on

Jena (pts014/08.10.2019/11:50) – Spätestens, seit ESET-Forscher vergangenes Jahr das erste UEFI-Rootkit namens Lojax entdeckt haben, ist die Sicherheit des BIOS-Nachfolgers UEFI (Unified Extensible Firmware Interface) ein heißes Thema. Bislang war das Aufspüren dieser speziellen Schädlinge mühsam. Nun entwickelten ESET-Spezialisten ein System, das ihnen ermöglicht, die riesige UEFI-Landschaft effizient zu erforschen und gleichzeitig neue wie unbekannte Bedrohungen in diesem Bereich zuverlässig zu erkennen.

„Malware wie Lojax zu finden, ist selten. Es gibt Millionen von ausführbaren UEFI-Dateien und nur ein winziger Teil davon ist bösartig“, erklärt Filip Mazán, Software-Ingenieur bei ESET. „Unser Fokus war es, ein System zu schaffen, das ungewöhnliche Merkmale in ausführbaren UEFI-Dateien aufspürt.“

Machine Learning unterstützt Analysten

Ausgehend von den Telemetriedaten, die seitens ESET vom UEFI-Scanner gesammelt wurden, entwickelten Spezialisten für maschinelles Lernen und Malware-Forscher eine maßgeschneiderte Verarbeitungspipeline für ausführbare UEFI-Dateien. Sie setzt auf maschinelles Lernen, um ungewöhnliche Muster in den untersuchten Dateien zu finden. Diese Automatisierung unterstützt auch die ESET-Analysten. Sie müssen dadurch viel weniger selbst aktiv werden und haben dadurch mehr Zeit, neue Schadprogramme genau zu untersuchen.

ASUS-Backdoor über die Technologie entdeckt

„Obwohl unsere ausführbare UEFI-Verarbeitungspipeline noch nicht dazu geführt hat, neue UEFI-Malware zu finden, sind die bisherigen Ergebnisse vielversprechend“, sagt Jean-Ian Boutin, Senior Malware Researcher bei ESET. Auf der Suche nach UEFI-Bedrohungen entdeckten ESET-Forscher über dieses System mehrere interessante Komponenten, die in zwei Kategorien unterteilt werden können – Firmware-Backdoors und Persistenzmodule auf Betriebssystemebene. Die bemerkenswerteste Entdeckung ist die ASUS-Backdoor: eine UEFI-Firmware-Backdoor, die in mehreren ASUS-Laptopmodellen zu finden ist und vom Hersteller nach Benachrichtigung von ESET entfernt wurde.

Weitere Informationen und ein Whitepaper haben die ESET Forscher auf WeLiveSecurity veröffentlicht: https://www.welivesecurity.com/2019/10/08/needles-haystack-unwanted-uefi-components/

(Ende)

Aussender: ESET Deutschland GmbH Ansprechpartner: Christian Lueg Tel.: +49 3641 3114 269 E-Mail: christian.lueg@eset.de Website: www.eset.com/de