Black Hat: UEFI-Toolkit zur Suche nach Bootkits

Zwei Sicherheitsforscher haben Tools zum Aufspüren von Bootkits entwickelt, die sich über den Bios-Nachfolger UEFI einnisten wollen. Zur Demonstration der Wirksamkeit der Abwehrmaßnahme griffen sie auf ein selbst programmiertes Bootkit für Intel-Macs zurück, dessen Quellcode sie aber unter Verschluss halten.

Das Ergebnis ihrer Arbeit nennen Mario Vuksan und Tomislav Pericin RDFU (Rootkit Detection Framework for UEFI). RDFU, das sie zum Download bereit stellen wollen (auf ihrer Website aber noch nicht zu finden ist), ist eine Sammlung aus UEFI-Applikationen und -Treibern, die UEFI um diverse Funktionen erweitert. Es ist kompatibel zu UEFI Version 1.x, 2.x (32 und 64bit), der speziellen Mac-OS-X-Implementierung sowie VirtualBox und VMware; nicht kompatibel ist RDFU mit der UEFI-Version für ARM.

Zu den Funktionen gehört beispielsweise das Auflisten aller geladenen UEFI-Treiber, das Aufspüren von ausführbaren Dateien im Speicher oder das Überwachen von neuen Treibern. All diese Funktionen helfen, um Infektionen durch ein Bootkit zu erkennen.

Um die Schlagkraft von RDFU zu demonstrieren, haben die Forscher auch ein Demo-Bootkit für Intel-Macs programmiert. Eingeschleust wird der Schädling – nach Aussagen der Forscher – automatisch durch einen Rechnerstart mit eingestecktem USB-Stick. Damit unterscheidet sich das Forschungsbootkit von einer im letzten Jahr ebenfalls im Rahmen der Black Hat demonstrierten Version, die per Thunderbolt-Ethernetadapter auf den Rechner kam.

Einmal aktiv, kann das live demonstrierte Bootkit Ordner verstecken, das eventuell zum Rechnerstart notwendige FileVault-Passwort abfangen oder beliebige Prozesse wie eine Shell mit root-Rechten ausstatten. RDFU stellt die vom Bootkit benötigten Komponenten, wie den bösartigen Treiber, das Registrieren von Events oder das Einhängen in System-Tables fest und unterbindet die Aktionen.

(kbe)