Trickbot-malware kan zoeken naar kwetsbaarheden in UEFI/BIOS

30 reacties

Onderzoekers hebben ontdekt dat de Trickbot-malware in staat is om de uefi- of bios-firmware van beïnvloede systemen te inspecteren. De malware werd voor het eerst ontdekt in 2016 onder de vorm van een banking trojan, gericht op het stelen van financiële informatie. Momenteel beschikt Trickbot over meerdere functionaliteiten, en staat dan ook bekend om het verspreiden van ransomware. 


Bovenstaand diagram toont de verschillende toepassingen van Trickbot.

Uit het gezamenlijk onderzoek dat is gevoerd door de beveiligingsbedrijven AdvIntel en Eclypsium, blijkt dat er nu een nieuwe module bestaat. Gezien de mogelijke gevolgen van malware op het uefi-niveau, wordt de naam Trickboot gebruikt. Tot dusver blijft de functionaliteit beperkt tot het identificeren van het getroffen platform, en het zoeken naar bekende kwetsbaarheden.

Tijdens het onderzoek heeft de malware geen pogingen ondernomen om de firmware te wijzigen. Er is echter wel code gevonden die het mogelijk maakt om deze te lezen, aan te passen, of zelfs helemaal te verwijderen. Dit maakt de volgende scenario’s mogelijk:

  • Het bricken van een apparaat op het firmware-niveau, via ransomware of reguliere malware
  • Een hersteld apparaat opnieuw besmetten
  • Het omzeilen of uitschakelen van beveiligingsfuncties waar het os of software van gebruikmaakt, waaronder beveiliging op basis van virtualisatie of containers
  • Andere apparatuur in het systeem besmetten, waaronder Intel CSME/AMT of de baseboard management controller
  • Het terugdraaien van firmware- en microcode-updates die kwetsbaarheden op hardwareniveau verhelpen

Het is niet de eerste keer dat malware wordt gericht op de uefi- en bios-firmware. Het verschil is dat er dagelijks vele systemen worden getroffen door Trickbot. Cijfers van AdvIntel tonen aan dat er in oktober dagelijks ongeveer 1.000 tot 5.000 nieuwe besmettingen zijn opgedoken, tot wel pieken van 40.000 op één dag. Volgens het rapport zijn alle Intel-systemen vanaf 2014 kwetsbaar. AMD wordt niet vermeld, er is dus ook geen bevestiging dat moederborden van het rode kamp immuun zijn voor deze malware.


De geschatte hoeveelheid Trickbot-infecties wereldwijd

Wie verantwoordelijk is voor de beveiliging van apparatuur, wordt aangeraden om in de eerste plaats na te gaan of de firmware is beschermd tegen aanpassingen. Daarnaast dient de firmware vergeleken te worden met bekende goede versies, om zeker te zijn dat er geen onbekende code is toegevoegd. Tenslotte adviseren de onderzoekers om apparatuur altijd te patchen indien er updates beschikbaar zijn die bekende kwetsbaarheden verhelpen, aangezien Trickbot hiervan gebruikmaakt.

Wie meer wil lezen hierover, kan terecht op de website van Eclypsium. Daar komt ook het technische aspect meer aan bod.

Bron: Eclypsium

« Vorig bericht Volgend bericht »
0
*