ESPecter

Eine Malware-Bedrohung, die seit fast einem Jahrzehnt möglicherweise nicht erkannt werden konnte, wurde endlich von den infosec-Forschern entdeckt. Die Bedrohung namens ESPecter wurde von Cybersicherheitsexperten entdeckt und ist ein Bootkit, mit dem nicht signierte Treiber auf das ESP-Laufwerk (EFI System Partition) des infizierten Systems geladen werden.

Die Forscher haben die Ursprünge der Bedrohung mindestens bis 2012 zurückverfolgt. Während dieses bedeutenden Zeitraums ist die drastischste Änderung der Malware der Wechsel von der Ausrichtung auf Legacy-BIOS und Master Boot Record zu ihrem Nachfolger UEFI. Das Unified Extensible Firmware Interface oder UEFI ist eine entscheidende Komponente, die die Firmware der Maschine mit dem Betriebssystem verbindet.

Bisher wurde ESPecter mangels ausreichender Beweise keinem konkreten Bedrohungsakteur zugeordnet. Bestimmte Anzeichen in den Komponenten der Bedrohung, wie z. B. die Debug-Meldungen, deuten darauf hin, dass es sich bei den Erstellern um chinesischsprachige Personen handelt. Die bei der Auslieferung von ESPecter verwendete Verteilungsmethode ist derzeit ebenfalls unbekannt. Der Bedrohungsakteur könnte eine Zero-Day-UEFI-Sicherheitslücke, einen bekannten, aber noch nicht behobenen Fehler ausnutzen oder physischen Zugriff auf die Zielcomputer haben.

Technische Details

ESPecter platziert sich im ESP und stellt seine Persistenz über einen Patch her, der auf den Windows Boot Manager angewendet wird. Darüber hinaus bietet der Patch ESPecter die Möglichkeit, die Protokolle der Windows Driver Signature Enforcement (DSE) vollständig zu umgehen und seine eigenen unsignierten Treiber auf den kompromittierten Computer zu laden. Die Bedrohung kann auch zusätzliche unsichere Komponenten einschleusen, um eine Verbindung zum Command-and-Control-Server (C2, C&C) des Angreifers herzustellen.

Forscher entdeckten Keylogging- und File-Stealing-Module auf den mit ESPecter infizierten Systemen, was darauf hindeutet, dass das Hauptziel des Bedrohungsakteurs die Cyber-Spionage und die Überwachung der ausgewählten Ziele sein könnte. Tatsächlich ist ESPecter auch mit der Funktionalität ausgestattet, beliebige Screenshots aufzunehmen und sie in einem versteckten Verzeichnis zusammen mit den gesammelten Schlüsselprotokollen und Dokumenten zu speichern.

Um seine bedrohlichen Aktivitäten ausführen zu können, muss ESPecter jedoch die Secure Boot-Funktion auf dem System deaktivieren. Secure Boot wurde erstmals mit der Veröffentlichung von Windows 8 als Windows-Funktion eingeführt, sodass alle früheren Versionen des Betriebssystems automatisch anfällig für einen ESPecter-Angriff werden. Die Verwendung einer neueren Windows-Version reicht jedoch nicht aus. In den letzten Jahren sind zahlreiche UEFI-Firmware-Schwachstellen aufgetreten, die es Angreifern ermöglichen, Secure Boot zu deaktivieren oder vollständig zu umgehen.