Wie tief kann sich Malware in Computer einnisten? Kann eine Malwareinfektion überleben, wenn die Festplatte formatiert wird? Diesen Fragen gehen wir nach und begeben uns auf einen Streifzug durch Firmware, Persistenz, FANCY BEAR und LoJax. Darüber hinaus versuchen wir zu beleuchten, wie verbreitet firmwarepersistente Malware unter vorrangig staatlich-gestützten Akteuren ist und welche technischen Gegenmaßnahmen es gibt.
Armchair Investigators – Ein Dialog über Malware, Cybercrime und Cyberspionage. Mit Lars Wallenborn und Christian Dietrich.
00:00:32 Christian Dietrich: Hallo liebe Cyberfreunde, mein Name ist Chris, ich bin Professor für IT Sicherheit an der Westfälischen Hochschule …
00:00:37 Lars Wallenborn: … und hallo, mein Name ist Lars. Ich bin Reverse Engineer und Softwareentwickler und arbeite für CrowdStrike. Chris, lass uns heute mal über ein allgemeineres Thema reden als sonst. Es ist ein bisschen anders als die anderen Folgen, würde ich sagen. Da haben wir uns ja mehr so einen Incident, irgendwie so einen Vorfall ausgesucht, und ich würde heute mal gerne über das allgemeinere Thema Persistenz reden. Das würde ich gerne so einleiten – ich fange einfach mal an, und brabbel so ein bisschen vor mich hin. Fühl dich frei mich zu unterbrechen.
00:01:03 Christian Dietrich: Leg los!
00:01:03 Lars Wallenborn: Also manchmal denkt man ja so, irgendwie Leute, die sich nicht so viel mit Computern beschäftigen, nicht so viel Zeit mit Computern verschwenden, wie wir beide, die laden dann Malware auf ihren Computer und befürchten dann, dass sie sich schon mit etwas infiziert haben. Das ist aber gar nicht so. Nur weil eine Malware auf einem Computer drauf ist, also auf der Festplatte liegt – oder at rest ist, ja – heißt das nicht, dass auf dem Computer die Malware auch läuft. Und damit irgendwie Malware – oder Schadsoftware, um mal den deutschen Begriff zu verwenden – überhaupt gefährlich ist, muss die auch ausgeführt werden. Und erst wenn die wirklich läuft, kann sie irgendwas Böses tun. Irgendwie Geld klauen vom Bankkonto oder irgendwelche anderen Möglichkeiten nutzen, um ihre Ziele zu erreichen.
00:01:50 Christian Dietrich: Das heißt, eine Malware Datei, eine bösartige .exe Datei, die ich mir zum Beispiel beim Browsen durch das Web heruntergeladen habe, die einfach nur heruntergeladen wurde, die ist gar nicht so wahnsinnig dramatisch.
00:02:01 Lars Wallenborn: Ja, außer wenn du doppelt drauf klickst natürlich, dann wird sie ganz plötzlich sehr dramatisch. So, aber worauf ich jetzt hinaus will – ich habe ja gesagt, ich würde gerne über Persistenz reden – wenn man also jetzt die Malware ausgeführt hat, und die macht ihre bösen Sachen, und dann würde man den Computer einfach neu starten, dann startet die Malware ja erst mal nicht von alleine auch mit dem Computer neu. Also in gewisser Weise könnte man seinen Computer desinfizieren, indem man ihn neu startet. Lustigerweise – das klingt jetzt erst mal wie eine sehr billige Art und Weise, sich gegen Malware zu wehren. Lustigerweise ist das bei einiger Malware, die so im IoT Bereich, im Internet of Things Bereich kursiert, ist oder war – na ja, da kann man jetzt drüber streiten, ob das immer noch aktuell ist – ist das eine Möglichkeit, sich von einer Infektion zu befreien. Ja, man startet sein IoT Gerät, das ist ja meistens irgendwie so ein Plastikgerät, trennt das einmal vom Strom, steckt es wieder rein und dann ist es nicht mehr mit Malware infiziert. Weil diese IoT Geräte gar keine Möglichkeit haben, irgendwie Daten zu speichern und dann auch irgendwie dafür zu sorgen, dass die Malware beim Neustart mit startet. Das Blöde bei den Geräten ist natürlich, die werden dann sehr leicht auch wieder kompromittiert. Ich meine, irgendwie ist die Malware ja drauf gekommen, aber darüber wollte ich jetzt eigentlich gar nicht so sehr reden. Damit Malware auf einem Computer bleibt, muss sie irgendwie dafür sorgen, dass sie auch startet, wenn der Computer startet. Und unter Windows gibt es da eine sehr billige Art und Weise: Und zwar, kopiert die Malware sich einfach in den Windows Autostart Ordner, den kennt man ja vielleicht noch. Na ja, das sorgt dafür, dass wenn der Computer startet, startet die Malware gleich mit.
00:03:31 Christian Dietrich: Das heißt, ich könnte mich dagegen schützen, indem ich den Autostart Ordner inspiziere und alles da rauslösche, was ich nicht möchte, dass es mit startet.
00:03:39 Lars Wallenborn: Genau. Was du vielleicht da nicht selber hin getan hast. Und – oh Wunder – das ist jetzt eine sehr billige Art und Weise sich jetzt dagegen wieder zu wehren. Deswegen sind natürlich jetzt die Angreifer wieder an der Reihe, da was gegen zu tun. Und dann kann man halt auch andere Methoden verwenden, um jetzt zum Beispiel unter Windows mit dem Computer zu starten. Noch eine sehr offensichtliche Methode ist, dafür einen sogenannten Windows-Service auf dem Computer einzurichten. Das sind so Hintergrundprozesse, die laufen auf dem Computer. Und die Malware tut einfach so, als wäre sie auch so ein Hintergrundprozess, richtet so einen Service ein, vielleicht noch mit einem Namen, der nicht ganz so auffällig ist wie „Schadsoftware 2021“ oder so, sondern irgendwas unauffälliges. Und ja, dann startet sie wieder, wenn der Computer startet. Und dabei taucht sie dann nicht im Autostart Ordner auf. Also die Methode, sich dagegen zu wehren, die du gerade vorgeschlagen hast, die funktioniert dann schon mal nicht mehr.
00:04:27 Christian Dietrich: Also Dienste, auf deutsch.
00:04:29 Lars Wallenborn: Ah ja, Service ist Dienste, genau, richtig.
00:04:31 Christian Dietrich: Und wie kann ich mich dagegen wehren? Na ja okay, ich könnte halt einfach alle Dienste durchgehen, müsste dann natürlich ein Verständnis darüber haben, welche Dienste gewollt sind, und welche vielleicht nicht unbedingt gewollt sind, und die nicht gewollten, rausschmeißen.
00:04:44 Lars Wallenborn: Ja. Das Problem da ist dann natürlich, um direkt die Gegenmaßnahme gegen die Gegenmaßnahme gegen die Gegenmaßnahme aufzuzählen…
00:04:50 Christian Dietrich: Schönes Katz-und-Maus Spiel.
00:04:52 Lars Wallenborn: Ja, genau richtig. Wenn man so ein Windows frisch installiert, dann kommt das schon mit einem riesen Sack an Hintergrunddiensten und an Services mit. Und eine davon hat den unauffälligen Namen „Intelligenter Hintergrund Übertragungsdienst“. Und wenn ich mir jetzt …
00:05:07 Christian Dietrich: Oh super, das ist doch intelligent.
00:05:08 Lars Wallenborn: Genau. Wenn ich mir das jetzt unbedarft anschaue, denke ich vielleicht: Oh das ist die Malware, den schalte ich mal aus. Aber das ist in Wirklichkeit einfach ein Dienst, der bei Windows dabei ist und der einen Zweck erfüllt.
00:05:18 Christian Dietrich: Zum Beispiel das Herunterladen von Updates, glaube ich, macht der.
00:05:21-9 Lars Wallenborn: So, und diese Spirale geht dann halt weiter. Also wir hatten jetzt irgendwie Malware, die sich in den Autostart Ordner legt, dann geht man den Autostart Ordner durch. Malware, die sich als Service auf dem System persistiert, dann geht man die Services durch. Und es gibt von solchen Methoden noch ganz, ganz viele andere unter Windows, wie man sich autostarten kann. Da kann man sich irgendwie unten neben die Uhr platzieren und so Hooks dafür einrichten, oder man kann sich ins Kontextmenü hängen oder man kann sich immer starten, wenn man eine Office Datei startet und solche Sachen.
00:05:51 Christian Dietrich: Browser Plugin.
00:05:53 Lars Wallenborn: Richtig. Genau. Unglaublich viele. Also diese Liste, die werden wir jetzt nicht erschöpfend aus dem Kopf aufzählen können, denke ich.
00:05:59 Christian Dietrich: Jede Menge Persistenz-Technik.
00:06:01 Lars Wallenborn: Genau. Und wir werden auch übrigens…da gibt es so ein Tool – auch von Microsoft, von den Winternals Leuten – das heißt Autoruns. Das können wir in den Shownotes auch verlinken. Das könnt ihr – ihr könnt uns vertrauen – das könnt ihr einfach herunterladen und ausführen. Das ist keine Malware. Ihr solltet niemandem vertrauen, der so was zu euch im Internet sagt. Das verlinken wir euch aber in den Shownotes und wenn ihr euch das traut, das auszuführen, dann könnt ihr mal gucken. Das listet sehr viele von diesen Persistenz Methoden auf, und dann könnt ihr mal gucken, was alles auf dem Computer persistiert ist. Und das ist unübersichtlich viel. Ja, und wie du eben schon gesagt hast, Chris, das ist so eine Art Katz-und-Maus Spiel. Akteure finden immer geschicktere und verstecktere Methoden, sich zu persistieren und als Verteidiger versucht man die dann zu identifizieren, weil das ist halt eine Möglichkeit, sich gegen die Malware dann zu schützen. Man sorgt dafür, dass sie nicht mehr startet, wenn der Computer startet. Und man ist fein raus.
00:06:50 Christian Dietrich: Ja, Festplatte formatieren hilft doch immer.
00:06:53 Lars Wallenborn: Das hilft ja auch meistens. Also ich sage mal…
00:06:56 Christian Dietrich: Was heißt denn Festplatte formatieren?
00:06:58 Lars Wallenborn: Na ja, du löschst alles. Also du löschst insbesondere das Betriebssystem. Und alles, was darauf persistiert ist. Das heißt, wenn du das Betriebssystem danach neu installierst, dann ist nichts von dem was vorher persistiert war, immer noch persistiert. Zumindest ist das die Hoffnung. Na ja, das klingt jetzt für so Privatanwender auch immer sehr aufwändig: Irgendwie muss ich meinen Computer formatieren, muss ich vorher alle Daten backupen, ich habe ja eigentlich keine Backups – das ist natürlich schlecht wenn man das nicht hat – aber das ist ja leider immer noch häufig so. Und das ist sehr aufwändig für einen Privatanwender meistens. Oder das ist zumindest meine Erfahrung, dass das sehr aufwändig ist. Aber für so große Organisationen ist das nicht so aufwändig. Die haben dafür meistens sehr effiziente Abläufe. Ich meine, wenn ein neuer Mitarbeiter dazu kommt, will man den ja auch schnell mit einem Computer versehen, und das ist so ein bisschen so ähnlich. Also man teilt einfach einen neuen Computer aus, und die Daten liegen meistens sowieso auf dem Netzlaufwerk und so weiter. Das heißt, für große Organisationen, sowohl irgendwie im privaten Sektor als auch so im nicht-privaten Sektor, ist das relativ billig Festplatten zu formatieren, also hier so eine Mitigation durchzuführen.
00:08:04 Christian Dietrich: Und jetzt kann man sich aus so einer Akteur-Perspektive vorstellen, dass es manche Ziele gibt, die sind vergleichsweise schwer zu kompromittieren. Also stellen wir uns mal vor, wir sind so ein Akteur und unsere Mission ist irgendwie so politische Spionage. Und da gibt es halt so Ziele, die schwer zu kompromittieren sind, und wenn man das da mal rein geschafft hat, dann will man unter keinen Umständen den Zugriff verlieren. Und das bedeutet, man möchte sich eben sehr tief persistieren.
00:08:30 Lars Wallenborn: Also ich habe schon eine Vermutung, was das für Ziele sein könnten, aber was meinst du denn jetzt so konkret vielleicht?
00:08:36 Christian Dietrich: Ja, zum Beispiel nehmen wir mal das Abgeordneten Büro von Angela Merkel im Deutschen Bundestag. Da gibt es übrigens einen ganz guten Podcast, der nennt sich „Der Mann in Merkels Rechner“. Da wird dargelegt, wie die Untersuchungen gelaufen sind, zu dem Akteur Fancy Bear, der es eben geschafft hat, genau dieses Abgeordnetenbüro von Angela Merkel zu kompromittieren. Und jetzt kann man sich vorstellen, das ist natürlich von unschätzbarem Wert. Das ist ein sehr attraktives Ziel, und das ist von unschätzbarem Wert, wenn die Mission eben politische Spionage ist. Und dann willst du natürlich diesen Zugriff auf diese Infrastruktur möglichst nicht verlieren.
00:09:12 Lars Wallenborn: Und in Kombination damit, dass es für so große Organisationen, wie jetzt den Deutschen Bundestag, sehr billig ist, Computer zu formatieren, will man da irgendwie einen Weg drum herum finden.
00:09:21 Christian Dietrich: Genau. Das heißt also, aus Angreiferperspektive ist es absolut erstrebenswert, selbst gegen Formatierung gewappnet zu sein. Und du möchtest vielleicht sogar auch, wenn die Festplatte komplett getauscht wird, immer noch Zugriff haben. Jetzt wissen wir, der Akteur Fancy Bear war im Bundestag, wir wissen aber nicht, ob im Bundestag Malware zum Einsatz kam, die jetzt den Festplattentausch tatsächlich übersteht.
00:09:46 Lars Wallenborn: Und jetzt muss man sich halt überlegen, aus Angreiferperspektive, wie man das überhaupt hinkriegen soll. Weil man kann ja erst mal sagen: Na ja, also Malware sind irgendwie Daten und diese ganzen Daten müssen irgendwo drauf sein. Und wenn sie nicht auf der Festplatte sind, wo sollen sie sonst sein? Es stellt sich raus, in so einem Computer sind noch ganz viele andere Datenträger. Die sind dann verbaut auf den Mainboards, so als Chips und als kleine Speicherbausteine, die natürlich nicht Terabyte-weise Daten speichern können. Aber das muss ja auch gar nicht sein. Ich meine gute Malware kann ganz klein sein und die kann sich dann auch so auf einem kleinen Chip einnisten.
00:10:17 Christian Dietrich: Um so was aber zu realisieren – also so eine Malware, die einen Festplattentausch übersteht – braucht man eben sehr viel Wissen und Programmierkenntnis über genau diese Speicherbausteine, die eben nicht die Festplatte sind.
00:10:29 Lars Wallenborn: Ja, und das ist alles sehr Hardware-nahes Wissen, also das involviert so Systeme, die hat man früher – also früher gab es das BIOS, das kennt man vielleicht noch. Und heutzutage wurde das abgelöst von den UEFI. Da braucht man ganz viel Wissen über UEFIs und wie die funktionieren.
00:10:43 Christian Dietrich: Und wie die Flash Speicher funktionieren auf denen eben diese UEFI Komponenten hinterlegt sind und die DIGSI Driver, so nennt man eben diese Komponenten, die aus dem UEFI heraus aktiviert werden und so weiter. Und wie das immer so ist, so bei Spezialsoftware, na ja, Leute die das können, sind eben rar oder teuer…
00:11:02 Lars Wallenborn: …oder beides.
00:11:03-4 Christian Dietrich: So und jetzt kommt aber der Fancy Bär Trick oder der Fancy Bär Life Hack, wie ich gerne sagen würde. Was ist denn eigentlich Firmware, Lars?
00:11:12 Lars Wallenborn: Ursprünglich – habe ich eben auf Wikipedia gelesen – ist das so ein Zwischending zwischen Hard- und Software. Also zwischen Hardware und Software. Die ist halt nicht so hart und nicht so weich, sondern mehr so fest, so Firmware.
00:11:23 Christian Dietrich: So firm.
00:11:24 Lars Wallenborn: Also firm. Genau. Das wie gesagt, ist eher die Wortherkunft von Firmware.
00:11:30 Christian Dietrich: Man könnte auch einfacher sagen, es ist Software, die nicht auf der Festplatte gespeichert ist.
00:11:35 Lars Wallenborn: Ja, genau. Das ist vielleicht eher die kontemporäre Verwendung des Wortes. Also irgendwie Software, die nahe an der Hardware ist, aber eigentlich immer noch Software ist, wenn man jetzt mal ganz ehrlich ist.
00:11:44 Christian Dietrich: Das heißt dieser Flash-Speicher ist Speicher, der nicht flüchtig ist, das ist vielleicht ganz wichtig. Also jetzt nicht Arbeitsspeicher so. Also im RAM ist es so, wenn der Strom weg ist, dann sind relativ bald auch die Inhalte weg.
00:11:57 Lars Wallenborn: Relativ bald?!?
00:11:58 Christian Dietrich: Ja, cold boot attack und so – kann man immer noch auslesen. Das ist halt nicht flüchtig. Das heißt, also auch wenn der Strom weg ist, bleiben diese Daten erhalten, ja, in diesen Flash-Speichern. Und diese Firmware wird halt relativ selten geändert.
00:12:12 Lars Wallenborn: Also das passiert schon. Manchmal gibt es Updates für die Firmware und dann muss man die irgendwie installieren. Aber du hast schon recht, generell bleibt die relativ konstant.
00:12:19 Christian Dietrich: Und diese Firmware liegt eben nicht auf der Festplatte, sondern eben in diesen Flash-Speichern. Und jetzt gibt es eine Software, die als Diebstahlvermeidung gedacht ist.
00:12:29 Lars Wallenborn: Also legitime Software, keine Malware oder so. Es gab eine Firma, Computrace hieß die, und die hat diese Software raus gebracht.
00:12:35 Christian Dietrich: Genau. Und das Produkt hieß damals LoJack, so ein bisschen als Wortspiel zu Hijack, was irgendwie auf deutsch übersetzt so was heißt wie entwenden oder übernehmen. Und diese Software war dazu gedacht, geklaute Computer, gestohlene Computer aus der Ferne zu sperren, die Daten darauf zu löschen oder die Geräte zu lokalisieren, damit man sie gegebenenfalls wieder beschaffen kann.
00:12:55 Lars Wallenborn: Also als rechtmäßiger Eigentümer des Computers sollte man das alles dann mit dieser Software können.
00:13:00 Christian Dietrich: Und das ist auch praktisch. Denn dieser Mechanismus funktioniert, selbst wenn die Festplatte getauscht wird in dem geklauten Rechner.
00:13:09 Lars Wallenborn: Oder auch nur formatiert wurde. Also ich meine, wenn ich irgendwo einen Computer klaue, dann will ich wahrscheinlich schon die Daten darauf löschen. Und das ist dann natürlich für den rechtmäßigen Eigentümer blöd, wenn damit auch die Möglichkeit genommen ist, den Computer irgendwie wieder zurück zu gewinnen. Ja und LoJack, diese legitime Software, die hat das implementiert.
00:13:28 Christian Dietrich: Und dabei verhält sie sich eben, man könnte sagen, relativ ähnlich zu Malware. Weil sie eine sogenannte Firmware-Persistenz implementiert.
00:13:37 Lars Wallenborn: Wie das so häufig ist – man kann ja auch mal so ganz komplizierte Sachen ganz einfach sagen – also da passiert sehr viel komplizierter Kram, und da würde ich jetzt ungern zu sehr ins Detail gehen. Das ist wahrscheinlich eher nur langweilig, wenn man da nur zuhört. Aber was die Software am Ende macht? Sie lädt was aus dem Internet runter und führt es aus.
00:13:54 Christian Dietrich: Genau. Und diesen Mechanismus, den hat der Akteur Fancy Bear eben quasi gekapert, also sich abgeschaut und gewisse Komponenten abgeändert. Und diese Veränderung wird so in der Community als LoJax bezeichnet. Das ist also sozusagen die Schadsoftware, die über die Firmware persistiert wird. Und die schafft es dann eben, einen Festplattentausch zu überstehen. Das Ganze wurde eben soweit angepasst, dass der Akteur, also Fancy Bear, jetzt eben Kontrolle über das System bekommt.
00:14:26 Lars Wallenborn: Und warum ich das gerne Life Hack nenne, ist, dass eine bestehende Software zu verwenden und so ein bisschen zu modifizieren oder ein bisschen mehr zu modifizieren, das kommt darauf an, das ist wahrscheinlich immer noch sehr viel weniger Arbeit, als das von Grund auf alles selber zu entwickeln. Da hat man quasi einen Life Hack gemacht, eine Abkürzung genommen.
00:14:46 Christian Dietrich: Jemand anderes hat die schmerzhafte Arbeit übernommen, das alles da irgendwie implementieren zu müssen, und man geht halt her und tauscht einfach nur ein paar Komponenten aus. Und das setzt, glaube ich, maßgeblich bei diesem Herunterladen-Aspekt an, den du vorhin erwähnt hast. Dann wird eben an einer bestimmten Stelle nicht die legitime Komponente von diesem Software Produkt runter geladen, sondern eine bösartige Komponente. Eine Schadsoftware, ein Remote Access Tool.
00:15:11 Lars Wallenborn: Das ist auch dokumentiert öffentlich, das verlinken wir natürlich auch in den Shownotes, dass Fancy Bear mit dieser LoJax Software verschiedene Regierungsorganisationen und Einrichtungen irgendwie in, wie man so schön sagt, Zentraleuropa, Osteuropa und den Balkanstaaten…gegen die hat Fancy Bear das eingesetzt.
00:15:27 Christian Dietrich: Was heißt in Zentraleuropa?
00:15:28 Lars Wallenborn: Das weiß ich auch nicht.
00:15:29 Christian Dietrich: Frankreich oder Deutschland wahrscheinlich.
00:15:32-4 Lars Wallenborn: Ich vermute auch.
00:15:32 Christian Dietrich: Genau, Sicherheitsforscher von ESET haben dazu eine ziemlich detaillierte Analyse veröffentlicht. Und auch das packen wir euch in die Shownotes. Gibt es denn eigentlich einen technischen Grund, der dagegen spricht, dass Akteure heute noch LoJax einsetzen? Denn es ist mir zumindest, kein offensichtlicher bekannt. Und das liegt so ein bisschen vielleicht auch daran, dass dank UEFI, also sozusagen dieser neueren Variante eines BIOS, also quasi einer standardisierten Form für Firmware, es auch einfacher gemacht wird für Angreifer, dafür Software zu entwickeln.
00:16:09 Lars Wallenborn: Stimmt. Wenn man standardisiert, macht man es für alle einfacher. Sowohl für Softwareentwickler, als auch für die Angreifer.
00:16:14 Christian Dietrich: Und was ich auch noch einen ganz interessanten Aspekt finde, ist die Frage: Welche Akteure haben wir denn noch beobachtet, die so etwas können? Also man könnte ja formulieren: Eine Firmware-persistente Malware in seinem Arsenal zu haben, ist eine Capability. Also eine technische Fähigkeit eines Akteurs.
00:16:32 Lars Wallenborn: Ja Chris, das mag ich ja immer besonders gerne, wenn diese ganze Cyber Threat Intelligence Crowd diese Kriegsmetaphern immer wieder verwendet.
00:16:38 Christian Dietrich: Was habe ich denn gesagt?
00:16:40 Lars Wallenborn: Arsenal hast du gesagt. Aber genau, eigentlich – Entschuldigung – Capability ist ein englischer Begriff. Aber ich meine, um das so ein bisschen abzugrenzen, verwenden wir den wahrscheinlich jetzt trotzdem weiter. Damit meinen wir, die rein technische, fertige Fähigkeit eines Akteurs. Also der hat dann ein fertiges Programm in seinem Arsenal, das ein bestimmtes Ziel erreichen kann.
00:16:59 Christian Dietrich: Ich habe mir mal chronologisch versucht, so ein bisschen herauszusuchen, welche Akteure das denn ebenfalls können, also diese Capability besitzen. Wir wissen seit den Edward Snowden Leaks, dass die NSA, also der US Nachrichtendienst NSA, ebenfalls ein Tool hat, das da Deitybounce heißt. Das heißt übersetzt so was wie göttlicher Sprung oder so was.
00:17:21 Lars Wallenborn: Göttliches Hüpfen heißt das. Göttliches Hüpfen.
00:17:23 Christian Dietrich: Genau, das ist ein Tool, was seit 2007 mindestens entwickelt wurde, sich maßgeblich gegen Dell PowerEdge Server gerichtet hat und Windows Betriebssysteme von Version 2000 bis XP unterstützt hat. Die Infektion erfolgte da wohl via USB Stick, es ist aber bis heute kein Code bekannt. Das heißt, es gibt eigentlich nur eine Beschreibung, und man hat bisher keinen Code in irgendeiner Form gesichtet.
00:17:49 Lars Wallenborn: Das mit dem USB Stick finde ich auch irgendwie interessant, weil das heißt ja, wenn die per USB Stick sich verbreitet, dann hatte der Angreifer in dem Fall Hardwarezugriff auf das System und konnte da irgendwo den USB Stick reinstecken. Ist auch vielleicht jetzt keine Sache, die jede dahergelaufene Hackergruppe macht. Da ist man schon…
00:18:03 Christian Dietrich: Man muss halt wirklich einen Agenten dahin schicken und der steckt den USB Stick rein, in der Tat. Dann gibt es aus dem Zeitraum 2010 bis 2013 Unterlagen über ein Tool, das nennt sich „DerStarke“. Das ist ein Tool aus dem Vault 7 Leak, das gemeinhin der CIA, also ebenfalls ein US Nachrichtendienst, zugerechnet wird. Ganz witzig auch, dass die da einen deutschen Begriff für nehmen, für „DerStarke“. Das ist ein Firmware persistentes Bootkit für Mac, also für Apple Macbooks. Und das fand ich echt ganz spannend. Das habe ich mir ein bisschen genauer angeguckt. Es gibt da eine Malware, die injiziert wird in Mac OS – das ist also das Betriebssystem, auf dem eben Apple typischerweise läuft – und die haben halt schon irgendwie daran gedacht, wie man diese Infektion sinnvoll hin bekommt. Zum Beispiel konnte man eben sagen, wie viele Tage nach der Erstinfektion eigentlich dann erst diese Malware aktiv werden soll. Und da war so empfohlen, so ein Zeitraum von 30 Tagen.
00:18:56 Lars Wallenborn: Und das sagt auch schon was über den Modus Operandi oder die Vorgehensweise von so einem Geheimdienst aus. Also die wollen nicht ihre Ziele kompromittieren und dann möglichst schnell Aktionen tätigen. Sondern für die ist es kein Problem, ein Ziel zu kompromittieren, einen Monat zu warten, damit es nicht auffällt, dass sie es sind und dann erst aktiv zu werden.
00:19:14 Christian Dietrich: Und was ich ziemlich abgefahren fand, ist Folgendes: Jetzt würde man vielleicht meinen, okay, also in dem Moment, wo tatsächlich mal ein Firmware Update passiert …
00:19:22 Lars Wallenborn: Game over.
00:19:23 Christian Dietrich: Genau, dann ist es vorbei. Dann plätte ich mir auch diesen Zugriff. Aber nein, die haben auch daran gedacht. Das heißt, die haben einen Mechanismus vorgesehen, der Firmware Upgrades überlebt.
00:19:33 Lars Wallenborn: Das ist auf jeden Fall schon Next Level Hardware Persistenz, wenn man jetzt auch noch Updates auf dieser Hardware persistenzen Methode darüber hinweg persistieren kann.
00:19:44 Christian Dietrich: Und dieses Tool wurde ebenfalls über USB, also physikalischen Zugriff, auf die Zielmaschine aufgespielt. Dann haben wir mit HackingTeam einen Dienstleister. HackingTeam ist ein Unternehmen – ein italienisches Unternehmen, glaube ich – gewesen, das ein Tool, das nennt sich rkloader hatte, mit dem man ebenfalls so eine Capability umsetzen konnte. Und da die als Dienstleister agieren, weiß man nicht genau, wer das alles eingesetzt hat. Also man konnte im Prinzip da diese Capability wohl eben einkaufen. Ja, und dann habe ich noch gefunden, dass es einen, ja, scheinbar chinesischsprachigen Akteur gibt, der so einen gewissen Bezug zu Themen rund um Nordkorea hat. Also man weiß es nicht genau welche Interessen da mit umgesetzt wurden. Möglicherweise eben so chinesisch-nordkoreanisch möglicherweise auch. Und das ist in Angriffen gegen Diplomaten und NGOs in Afrika, Asien und Europa zum Einsatz gekommen. Das heißt, wenn ich da mal versuche zusammen zu zählen, dann komme ich auf fünf Akteure, wenn man jetzt NSA und CIA als zwei Akteure bezeichnet. Aber ich glaube, das ist ganz sinnvoll.
00:20:51 Lars Wallenborn: Ja, lass uns dazu vielleicht noch mal ganz kurz sagen, warum man das überhaupt machen sollte. Also ich meine, das sind jetzt…also man kann sich jetzt auf den Standpunkt stellen und sagen, na ja, die vertreten beide amerikanische Interessen, sind beides amerikanische Geheimdienste, warum fasst man das nicht als einen Akteur zusammen?
00:21:08 Christian Dietrich: Ja, die haben aber unterschiedliche Targeting Requirements würde ich sagen. Also unterschiedliche Ziele, die sie irgendwie auskundschaften müssen, die haben einen unterschiedlichen Modus Operandi. Die einen sind vielleicht eher so SIGINT orientiert, die anderen so HUMINT orientiert. Die haben wahrscheinlich ein unterschiedliches Tooling – das haben wir ja hier gesehen – also unterschiedliche Werkzeuge, mit denen sie vielleicht ähnliche Dinge bewerkstelligen und ja, wahrscheinlich auch unterschiedliche Infrastruktur. Und wenn ihr mehr zu Attributionen erfahren wollt, dann hört doch vielleicht noch mal in Folge Zwei rein.
00:21:36 Lars Wallenborn: So, aber du wolltest eigentlich zurück kommen auf eine Zusammenfassung.
00:21:39 Christian Dietrich: Und so komme ich halt auf fünf Akteure. Man könnte es auch ein bisschen platter formulieren: Also die USA kann es, Russland kann es, China oder Nordkorea kann es und mit HackingTeam haben wir sogar einen Dienstleister, der es auch kann.
00:21:51-1 Lars Wallenborn: Ja, das kann man so platt formulieren, aber ich würde es gerne anderes platt formulieren. Und das geht so: Die USA die kann es. Russland macht es mit LoJax, irgendwer in Asien kann das auch und es gibt so private Firmen, die wahrscheinlich von sehr vielen Staaten sehr viel Geld bekommen haben – und die können das auch.
00:22:08 Christian Dietrich: Wenn man das mal reflektiert, könnte man also sagen: Ja, es gibt einige Parteien, die das können. Es gibt da verschiedene Akteure – haben wir ja jetzt eben gesehen – aber es ist jetzt auch nicht so, dass es jetzt irgendwie jeder Akteur in seinem Arsenal hat.
00:22:21 Lars Wallenborn: Da knechtet er schon wieder die Kriegsmetapher.
00:22:23 Christian Dietrich: Und das bringt uns so ein bisschen zu der Frage: Was kann man eigentlich dagegen tun? Ich glaube, so wahnsinnig viel kann man dagegen gar nicht tun. Oder man könnte anders herum formulieren, viele der Gegenmechanismen sind eigentlich eher reaktiv. Ja, das heißt, ich kann vielleicht im Nachhinein so eine Infektion feststellen, aber es scheint gar nicht so trivial zu sein, das zu vermeiden. Vielleicht mal mit dem Reaktiven anfangen. Dann könnte man sagen: Okay, diese Speicherbereiche, die kann man auslesen und kann in den ausgelesenen Daten nach irgendwelchen typischen Mustern von Malware, von bekannter Malware, die Firmware-persistent ist, suchen.
00:22:56 Lars Wallenborn: Genau, und um diese Muster kennen zu lernen, muss man natürlich erst mal ganz viel manuelle Arbeit leisten. Also es ist eine sehr aufwändige Herangehensweise.
00:23:04 Christian Dietrich: Und dann könnte man sich auf den Standpunkt stellen und sagen: Na ja, in dem Moment, wo ich diese Flashspeicher auslese, wenn der Rechner richtig tiefgehend kompromittiert ist, kann ich dem vielleicht schon nicht mehr trauen, was ich da auslese. Das heißt, ich müsste eigentlich entweder den Chip auslöten, also den Chip aufmachen und den dann auslesen, oder irgendwie von einem anderen Computer diesen Speicherbereich irgendwie auslesen. Und das ist halt eigentlich nicht wirklich praktikabel. Hinzu kommt, ich habe auch keine Ground Truth. Das heißt, ich weiß oft bei meinem eigenen Rechner vielleicht gar nicht, wie ist denn der Soll Zustand von dem UEFI Bereich?
00:23:40 Lars Wallenborn: Und auch wenn wir am Anfang gesagt haben, dass sich dieser UEFI Bereich nicht so oft ändert, der ändert sich schon manchmal. Also manchmal kommen mit irgendwelchen Updates auch solche Updates für diesen Bereich mit, und dann werden die dann einfach installiert. Also zu sagen, man schlägt immer Alarm, wenn sich da was ändert, das funktioniert wahrscheinlich auch nicht.
00:23:55 Christian Dietrich: Immerhin gibt es ein paar Antiviren Programme, die jetzt diesen UEFI Bereich mit scannen. Das ist ja schon mal ganz gut. Das heißt, also dieser reaktive Teil, der ist tatsächlich auch in die Praxis umgesetzt. Und das scheint so etwa 2019 herum, so sage ich mal, in den Mainstream dieser Antivirenprodukte gekommen zu sein. Das geht jetzt also seit etwa zwei Jahren. Als präventive Maßnahme gibt es die Möglichkeit, Schreibzugriffe auf den UEFI Bereich zu sperren. Aber da weiß man, dass es da auch Sicherheitslücken gab in der Vergangenheit, die eben eigentlich diesen Schreibzugriff aushebeln konnten. Also das ist ein bisschen die Frage, ob die jetzt geschlossen sind, diese Sicherheitslücken oder nicht.
00:24:34 Lars Wallenborn: Okay, jetzt stellt sich also noch vielleicht die Abschlussfrage: Muss ich davor jetzt Angst haben?
00:24:39-1 Christian Dietrich: Ja, wenn ich UN Diplomat wäre, da würde ich mir da vielleicht schon so ein bisschen Gedanken machen.
00:24:43 Lars Wallenborn: Ja okay. Und als Privatanwender?
00:24:45 Christian Dietrich: Ja als Privatanwender vielleicht nicht unbedingt.
00:24:47 Lars Wallenborn: Aber warum?
00:24:48 Christian Dietrich: Na ja, das ist schon irgendwie eine Capability, die man jetzt nicht unbedacht einsetzt. Und die man wahrscheinlich nur gegen sehr bestimmte Ziele einsetzt. Denn jedes mal läuft man natürlich auch Gefahr, dass es erkannt wird. Und dass es
dann in Folgeoperationen, wo man das gleiche Tool verwenden würde, vielleicht fehlschlagen würde.
00:25:05 Lars Wallenborn: Ja, würde so vom Standardvirenscanner einfach mit erkannt werden. Also als Akteur läuft man immer die Gefahr, so eine Capability zu verbrennen, wenn man sie einsetzt. Deswegen will man sie sparsam einsetzen.
00:25:18 Christian Dietrich: Was natürlich noch hilft gegen so einen Befall, ist die komplette Hardware zu tauschen. Und manchmal wundert man sich vielleicht, aber das sind ja scheinbar mitunter Optionen, die hie und da mal bedacht wurden, wenn es zu so einer Kompromittierung kam. Jetzt versteht man vielleicht auch warum.
Das war es für diese Folge. Wir sind im Web unter armchairinvestigators.de erreichbar oder auf Twitter unter @armchairgators. Wenn ihr Fragen habt, könnt ihr uns gerne anhauen. Weitere Folgen gibt es auf der Podcast Plattform eures Vertrauens.
00:25:51 Lars Wallenborn: Bis zum nächsten Mal.
00:25:52 Christian Dietrich: Bis zum nächsten mal. Ciao.
Shownotes
- Autoruns Tool – Listet Software auf, die automatisch unter Windows gestartet wird
- Der Mann in Merkels Rechner, Podcast über den Cyberangriff gegen Infrastruktur von Abgeordneten im deutschen Bundestag im Jahr 2015, Bayern 2, Florian Flade und Hakan Tanriverdi
- LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group, ESET [englisch]
- The UEFI Firmware Rootkits Myths and Reality, Kontextualisierung von Rootkits/Bootkits, Blackhat Asia 2017, Alex Matrosov [englisch]
- NSA TAO DEITYBOUNCE, Geleakte Beschreibung von DEITYBOUNCE (NSA), Wikipedia [englisch]
- Vault 7, DerStarke Geleakte Beschreibung von „Der Starke“ (CIA), Wikileaks [englisch]
- MosaicRegressor lädt Malware über das UEFI-Bootkit herunter, Kaspersky, Pavel Shoshin
- LoJax Malwarebeschreibung, Malpedia [englisch]