• LoJax-UEFI-Virus: warum die Malware so gefährlich ist und was sich dagegen unternehmen lässt

    Wie Sicherheitsforscher von ESET herausgefunden haben, soll sich aktuell ein neuer Computer-Virus im Umlauf befinden, welcher sich zwar über, aber nicht auf dem Betriebssystem einnistet. Vielmehr schreibt sich dieser, mit einem als extrem hoch eingestuften Gefährdungspotential eingestufte Virus in das BIOS respektive dessen Nachfolger UEFI. Dadurch ist es dem als LoJax bezeichneten Rootkit nicht nur möglich, den gesamten Datenverkehr umzuleiten und mitzuschneiden, sondern lässt zudem auch die wenigsten Anti-Viren-Programme anschlagen, da diese in der Regel keinen Scan des BIOS/UEFI durchführen. Welche Möglichkeiten es gibt, sich gegen LoJax zu schützen und ob dieser im Ernstfall entfernt werden kann, soll euch der nachfolgende Praxis-Tipp verraten



    https://www.winboard.org/artikel-attachments/93839-uefi.jpg
    Bildquelle: sectorx.com


    In den letzten Stunden sind im Netz mehrere Artikel aufgetaucht, die über eine neue Malware berichten, welche auf den Namen LoJax hört. Bei dem von Sicherheitsforschern des Unternehmens ESET entdeckten UEFI-Rootkit soll es sich um eine Spionage-Software handeln, welche mutmaßlich auf die Hackergruppe Sednit (auch Fancy Bear oder APT28 genannt) zurück geht. Auf das Konto dieser Gruppe sollen unter anderem der Bundesnetz-Hack aus dem vergangenen Jahr sowie auch die Angriffe auf Rechner der Demokratischen Partei während des US-Wahlkampfs 2016 gehen.



    Was macht LoJax?



    Bei LoJax handelt es sich um ein sogenanntes UEFI-Rootkit, einer komplett neuen Form eines Computervirus, für dessen Infektion kein physischer Zugriff auf dem Ziel-Rechner notwendig ist. Als Grundlage gelten hier bei der Zielperson installierte Trojaner, die wie bei vielen anderen Infektionen auch durch sogenannte Spear-Pishing-Mails aufgespielt werden. Die eigentliche Installation erfolgt dann über ein falsch konfiguriertes oder veraltetes Serial Peripheral Interface (SPI), einer Schnittstelle die zum Beispiel Flash-Speicher anspricht. Dadurch kann die System-Firmware (BIOS/UEFI) überschrieben werden und bei jedem Systemstart weitere schädliche Komponenten nachladen. Dadurch ist es möglich, dass die Schadsoftware Zugriff auf den gesamten Rechner erhält wodurch beispielsweise der Datenverkehr überwacht oder sogar umgeleitet werden kann, ohne dass die Anti-Viren-Software der meisten Nutzer überhaupt etwas bemerkt, da diese in der Regel nur auf Windows-Ebene operiert.


    Laut den Sicherheitsexperten von ESET gibt es nur sehr wenige Anbieter wie Kaspersky oder ESET selbst, die Programme im Angebot halten, welche auch das BIOS/UEFI entsprechend nach Schädlingen untersuchen.


    Malware wie LoJax ist nicht nur extrem schwierig zu erkennen, sondern übersteht auch eine Windows-Neuinstallation oder auch einen Festplatten/SSD-Austausch, da sich dieses im UEFI/BIOS eingenistet hat.



    Wie kann man sich gegen LoJax und kommende Ableger effektiv schützen?



    Da sich LoJax wie andere Trojaner auch, über Pishing-Mails und Co. installieren können, stellt der erste Schritt - wie so oft - den Hinweis dar, E-Mails von unbekannten Absendern inklusive deren Anhänge nicht zu öffnen und gleich in den Papierkorb zu verfrachten.

    Sollte man trotzdem den Verdacht haben, dass sich LoJax auf dem eigenen Rechner eingenistet hat, kann dies mit der Antiviren-Software aus dem Hause ESET überprüft werden und bei Bestätigung das BIOS / UEFI mit einer aktuellen Firmware überschrieben werden. Generell empfiehlt ESET, sich in regelmäßigen Abständen auf den Herstellerseiten der Mainboards oder auch Notebooks nach den neuesten BIOS / UEFI-Versionen zu informieren und die Rechner entsprechend up-to-date zu halten.


    Sollte für den eigenen Rechner allerdings kein entsprechendes Update zur Verfügung stehen, soll laut ESET dann nur noch ein Austausch des kompletten Mainboards helfen, was in den meisten Fällen mit dem Austausch des nahezu kompletten PCs einhergeht.

    Gefällt dir der Artikel

    LoJax-UEFI-Virus: warum die Malware so gefährlich ist und was sich dagegen unternehmen lässt

    ?
    Meinung des Autors
    Und wieder eine neue Art von Virus, welche man im worst case nicht einmal mitbekommen muss. Auch wenn es für die meisten PCs immer noch entsprechende BIOS/UEFI-Updates gibt, stehen diejenigen mit älteren, nicht mehr unterstützten Systemen ganz schön im Regen.Jetzt kommentieren!
    « Windows 10 Oktober 2018 Update (1809) benötigt aktiviertes IPv6, damit der Edge-Browser, Apps sowie Store funktionierenMicrosoft Translator lässt Euch per SwiftKey Tastatur für Android in vielen Sprachen schreiben »
    Ähnliche News zum Artikel

    LoJax-UEFI-Virus: warum die Malware so gefährlich ist und was sich dagegen unternehmen lässt

    Windows 10 Oktober Update (1809) - so lässt sich die synchronisierte Zwischenablage bedienen
    Microsoft hat in seiner neuesten Windows-10-Version, dem Oktober 2018 Update (Version 1809) ein neues Feature mit der Bezeichnung... mehr
    Microsoft Translator lässt Euch per SwiftKey Tastatur für Android in vielen Sprachen schreiben
    Da viele Windows Nutzer Android Smartphones nutzen ist Microsoft auch hier sehr aktiv und hat ja SwiftKey samt Tastatur aufgekauft. Nun hat... mehr
    Windows 10: so lässt sich die Taskleiste auf dem zweiten Monitor deaktivieren
    Falls ihr euren Windows 10 PC mit zwei oder mehreren Monitoren betreibt, kann ihr die Taskleiste auch so einstellen, dass diese zum... mehr
    Windows 10: durch diese Tools lässt sich die GPU-Temperatur auslesen
    Neben dem Prozessor (CPU) gehören auch die Grafikkarten zu den Kernelementen eines Computers, welche bei den aktuellen Temperaturen... mehr
    Windows 10 Mail App lässt ab sofort Steuerung externer Grafiken in Mails zu
    Nutzer der Mail-App unter Windows 10 können von nun an entscheiden, wie mit externen Grafiken und Bildern in Mail-Anhängen verfahren werden... mehr

    LoJax-UEFI-Virus: warum die Malware so gefährlich ist und was sich dagegen unternehmen lässt

    – deine Meinung ?
    Kommentare
    1. Avatar von Castle
      Castle -
      Mal was aus dem Whitepaper(PDF):

      As we will describe later: in its current state, the tool is only able
      to write to the BIOS region of misconfigured or fairly old systems (on motherboards older than Platform
      Controller Hub chipsets introduced around 2008).
      Also jeder mit einem System von vor 2008 und UEFI sollte jetzt einen milden Schock haben.



      Ich habe mir, seit ich mit Coreboot arbeite, angewöhnt generell nach dem Kauf eines Systems direkt, bevor es ans Internet geht oder ein OS installiert hat, das BIOS/UEFI per Chipklemme auszulesen und zu Sichern. Paranoid, aber manchmal Praktisch (besonders wenn ein Update etwas verschlimmbessert und der Hersteller kein Rollback zulässt).