Nach einem Bericht von ESET ist gestern ein Malware-Szenario eingetreten, welches im roten Bereich eingestuft werden kann: Malware, die sich nicht primär auf der Festplatte, sondern in UEFI BIOS Chips einnistet, welche in allen neueren Systemen Standard sind. Das ist in der Tat ein ernst zu nehmender Fall – aber deswegen gleich ein Blogpost? Ja! Denn das ist ein Paradebeispiel um zu zeigen, dass altbewährte Hunting-Techniken auch bei sehr moderner Malware funktionieren.
LoJax – so der von ESET vorgeschlagene Name für die neu gesichtete Malware – nützt eigentlich keine Sicherheitslücke aus. Vielmehr nützt LoJax nur die von UEFI BIOS (teils undokumentiert) bereitgestellten Funktionalitäten.
Während des Startvorgangs schreibt die BIOS Komponente der Malware dann ein Executable in den %SYSTEMROOT%\System32 oder den %SYSTEMROOT%\syswow64 folder. Zusätzlich wird der Registry Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute angepasst, um die Malware zu laden.
Fakt ist also, dass sich spätestens nach der Aktivierung ein typisches Bild einer Malware bietet, die sich auch innerhalb eines Systems bewegt. Damit gelten die gleichen Regeln wie bei jeder anderen Malware auch – oder schöner gesagt: Malware can hide but it must run. Das ist (wie immer) der beste Ansatzpunkt für Incident Responder.
Bei dem Malware File namens rpcnetp.exe, das durch einen Service-Eintrag gestartet wird, kommen Windows-Vorgänge wie Shimming (Shimcache/AMCache) zum Zug. Ob auch Eventlog-Einträge in Zusammenhang mit Services generiert werden, ist unbekannt. Auch im Bereich der Memory-Forensik kann die Malware erkannt werden. Dies ist dort auch über Injected Sections in den Prozessen iexplore.exe und svchost.exe möglich.
Identifizierung mit Shimcache Stacking
Um einzelne infizierte Rechner in der Masse zu identifizieren, bietet sich Shimcache Stacking an. Dabei wird von einer grossen Zahl an Endpoints der Shimcache extrahiert und im Anschluss die Summe über alle gleichen Executables aller System gebildet. Basierend auf Erfahrungen in APT-Untersuchungen sind nur wenige der Endpoints von Malware befallen. Damit kann der Incident Responder die Analyse auf executables mit niederen Vorkommenszahlen fokussieren.
Diese Technik muss von jeder nutzbringenden EDR-Lösung unterstützt werden. Sollte keine derartige Lösung zur Verfügung stehen, bietet sich das frei verfügbare Tool cis-esp vom «Center of Internet Security» an. Dieses Tool wird nicht mehr gewartet, wodurch Windows-Systeme, die neuer als Windows 7 sind, nicht mehr unterstützt werden. Eine gepatchte Version, die bis zur aktuellen Windows 10 Version alle Windows-Systeme unterstützt, kann von meiner Github Repository heruntergeladen werden.
CIS-ESP nützt WMI und funktioniert daher sehr gut in Windows Domains. Der Nachteil ist, dass dadurch Admin Logins auf allen Zielsystemen passieren. Das ist speziell bei Systemen ohne Credential Guard als kritisch anzusehen (möglicher Einsatz von Mimikatz, wce etc.).
InfoGuard setzt diese Lösung aktuell in einem Netzwerk mit annähernd 4000 Endpoints ein, um unter anderem Shimcache-Daten zu sammeln.
Bei Fragen oder detektierten Infektionen kontaktieren Sie uns bitte unter soc@infoguard.ch .