UEFI bios malware gevonden.

Door ShellGhost op maandag 5 oktober 2020 14:01 - Reacties (10)
Categorie: -, Views: 4.361

Niks is veilig op computers, dat is ondertussen wel bekend. Maar er is nu voor het eerst malware in het wild opgedoken voor UEFI bios'en.
Het was "uiteraard" een kwestie van tijd voordat dat zou gebeuren gezien het lek bij het Italiaanse HackingTeam. Daar kwam deze soort malware voor het eerst naar buiten.
Iemand of een team heeft het daadwerkelijk werkend gekregen.
Een mogelijkheid waarop het apparaat besmet kan worden is via een usb stick.
Als de malware eenmaal op het systeem staat zal het elke reboot overleven en zo actief blijven.
Onderzoekers van Kaspersky hebben deze malware gevonden bij een bedrijf wat anoniem wil blijven. De reden lijkt mij duidelijk. :)

Bron: https://www.security.nl/p...re+besmette+UEFI-firmware

Volgende: Einde end-to-end encryptie in deze landen? 12-10 Einde end-to-end encryptie in deze landen?
Volgende: Op vakantie naar Frankrijk? 05-10 Op vakantie naar Frankrijk?

Reacties


Door Tweakers user Slurpgeit, maandag 5 oktober 2020 16:17

De eerste UEFI malware is al een tijdje geleden gevonden ;)

https://www.welivesecurit...ld-courtesy-sednit-group/

Door Tweakers user Gerwin486741, dinsdag 6 oktober 2020 15:15

Niet alleen bij een reboot, zelfs bij een re-image of HDD swap. Het installeert de malware gewoon opnieuw.

Door Tweakers user hmmmmmmmmmpffff, dinsdag 6 oktober 2020 16:05

Voor de mensen die security.nl (ook) waardeloos vinden, hier het artikel van Kaspersky zelf:

https://securelist.com/mosaicregressor/98849/

Door Tweakers user Chielemans, woensdag 7 oktober 2020 08:04

Maar is dit dan niet gewoon een kwestie van je bios opnieuw flashen om er weer van af te komen?

Door Tweakers user Fairy, woensdag 7 oktober 2020 08:38

Chielemans schreef op woensdag 7 oktober 2020 @ 08:04:
Maar is dit dan niet gewoon een kwestie van je bios opnieuw flashen om er weer van af te komen?
Vaak is dat ook nog moeilijk. Als de hash van de firmware is veranderd, dan kun je niet zomaar een andere firmware flashen. Dit is ook om te voorkomen dat je een firmware van een ander moederbord per abuis flasht op een moederbord dat hier niet geschikt voor is.

Welke 30 plusser is dit in het verleden niet overkomen ;)

Door Tweakers user RobIII, woensdag 7 oktober 2020 08:39

Chielemans schreef op woensdag 7 oktober 2020 @ 08:04:
Maar is dit dan niet gewoon een kwestie van je bios opnieuw flashen om er weer van af te komen?
Theoretisch wel. Met wat pech is de malware zo "goed" dat dat ook overleefd wordt. Op het moment dat de malware zo diep in je systeem zit is het "all bets are off".

Door Tweakers user RobIII, woensdag 7 oktober 2020 08:43

Fairy schreef op woensdag 7 oktober 2020 @ 08:38:
[...]

Vaak is dat ook nog moeilijk. Als de hash van de firmware is veranderd, dan kun je niet zomaar een andere firmware flashen. Dit is ook om te voorkomen dat je een firmware van een ander moederbord per abuis flasht op een moederbord dat hier niet geschikt voor is.

Welke 30 plusser is dit in het verleden niet overkomen ;)
Ik heb een complete school / mediatheek die een BIOS virus had (40, 50 'werkstations' (Win98 nog in die tijd)) opgelapt door met een known good BIOS het systeem te booten, de BIOS flash tool te starten, de BIOS chip te verwijderen en de infected BIOS chip er in te zetten (met de spanning er dus nog op :X ) en dan de flash tool starten. 40, 50 gebedjes later waren er een heleboel leerlingen blij dat ze weer SouthPark filmpjes konden kijken via de proxy server, op een zwaar overbelastte ISDN lijn, op een vage site (want YouTube bestond nog niet, laat staan southpark.cc.com), snickers papiertjes in de CD trays konden stoppen en muisballetjes jatten _O-

[Reactie gewijzigd op woensdag 7 oktober 2020 08:45]


Door Tweakers user ShellGhost, woensdag 7 oktober 2020 08:44

Hotflashing for the win. _/-\o_

Door Tweakers user Fairy, woensdag 7 oktober 2020 10:59

RobIII schreef op woensdag 7 oktober 2020 @ 08:43:
[...]

Ik heb een complete school / mediatheek die een BIOS virus had (40, 50 'werkstations' (Win98 nog in die tijd)) opgelapt door met een known good BIOS het systeem te booten, de BIOS flash tool te starten, de BIOS chip te verwijderen en de infected BIOS chip er in te zetten (met de spanning er dus nog op :X ) en dan de flash tool starten. 40, 50 gebedjes later waren er een heleboel leerlingen blij dat ze weer SouthPark filmpjes konden kijken via de proxy server, op een zwaar overbelastte ISDN lijn, op een vage site (want YouTube bestond nog niet, laat staan southpark.cc.com), snickers papiertjes in de CD trays konden stoppen en muisballetjes jatten _O-
Hotflashen, toen de bios chip nog op een voetje zat idd :) Been there done that.

Door Tweakers user bastian433, zaterdag 10 oktober 2020 15:54

Dit voorkom je alleen met signen denk ik.
Veel plezier met het proberen te flashen van bijvoorbeeld een moderne HP probook/elitebook met een aangepaste bios. Tegenwoordig geloof ik geen whitelisting meer bij HP maar dat was een reden om dat te doen.

Dan moet je dus eerst iemand hebben die de sleutel jat bij HP.

Om te kunnen reageren moet je ingelogd zijn. Via deze link kun je inloggen als je al geregistreerd bent. Indien je nog geen account hebt kun je er hier één aanmaken.