ESET entwickelt Technologie zur Erkennung von UEFI-Bedrohungen
Machine Learning hilft, um neuartige UEFI-Bedrohungen besser erkennen zu können
Jena (pts014/08.10.2019/11:50) Spätestens, seit ESET-Forscher vergangenes Jahr das erste UEFI-Rootkit namens Lojax entdeckt haben, ist die Sicherheit des BIOS-Nachfolgers UEFI (Unified Extensible Firmware Interface) ein heißes Thema. Bislang war das Aufspüren dieser speziellen Schädlinge mühsam. Nun entwickelten ESET-Spezialisten ein System, das ihnen ermöglicht, die riesige UEFI-Landschaft effizient zu erforschen und gleichzeitig neue wie unbekannte Bedrohungen in diesem Bereich zuverlässig zu erkennen.
"Malware wie Lojax zu finden, ist selten. Es gibt Millionen von ausführbaren UEFI-Dateien und nur ein winziger Teil davon ist bösartig", erklärt Filip Mazán, Software-Ingenieur bei ESET. "Unser Fokus war es, ein System zu schaffen, das ungewöhnliche Merkmale in ausführbaren UEFI-Dateien aufspürt."
Machine Learning unterstützt Analysten
Ausgehend von den Telemetriedaten, die seitens ESET vom UEFI-Scanner gesammelt wurden, entwickelten Spezialisten für maschinelles Lernen und Malware-Forscher eine maßgeschneiderte Verarbeitungspipeline für ausführbare UEFI-Dateien. Sie setzt auf maschinelles Lernen, um ungewöhnliche Muster in den untersuchten Dateien zu finden. Diese Automatisierung unterstützt auch die ESET-Analysten. Sie müssen dadurch viel weniger selbst aktiv werden und haben dadurch mehr Zeit, neue Schadprogramme genau zu untersuchen.
ASUS-Backdoor über die Technologie entdeckt
"Obwohl unsere ausführbare UEFI-Verarbeitungspipeline noch nicht dazu geführt hat, neue UEFI-Malware zu finden, sind die bisherigen Ergebnisse vielversprechend", sagt Jean-Ian Boutin, Senior Malware Researcher bei ESET. Auf der Suche nach UEFI-Bedrohungen entdeckten ESET-Forscher über dieses System mehrere interessante Komponenten, die in zwei Kategorien unterteilt werden können - Firmware-Backdoors und Persistenzmodule auf Betriebssystemebene. Die bemerkenswerteste Entdeckung ist die ASUS-Backdoor: eine UEFI-Firmware-Backdoor, die in mehreren ASUS-Laptopmodellen zu finden ist und vom Hersteller nach Benachrichtigung von ESET entfernt wurde.
Weitere Informationen und ein Whitepaper haben die ESET Forscher auf WeLiveSecurity veröffentlicht: https://www.welivesecurity.com/2019/10/08/needles-haystack-unwanted-uefi-components/
(Ende)| Aussender: | ESET Deutschland GmbH |
| Ansprechpartner: | Christian Lueg |
| Tel.: | +49 3641 3114 269 |
| E-Mail: | christian.lueg@eset.de |
| Website: | www.eset.com/de |
