"Wir konnten die Wurzeln von ESPecter bis 2012 zurückverfolgen. Zuvor war das Spionageprogramm für Systeme mit veraltetem BIOS im Einsatz. Trotz seiner langen Existenz blieben ESPecter und seine Operationen sowie das Upgrade auf UEFI lange unbemerkt", sagt ESET-Forscher Anton Cherepanov, der das UEFI-Bootkit zusammen mit Martin Smolár entdeckt hat.

Ähnliche Variante seit 2012 im Einsatz

ESPecter wurde auf einem kompromittierten Rechner zusammen mit einer Keylogging- und Dokumentendiebstahl-Funktion entdeckt. Aus diesem Grund gehen die ESET-Forscher davon aus, dass ESPecter hauptsächlich für Spionagezwecke verwendet wird. Anhand der ESET-Telemetrie konnten die ESET-Forscher die Anfänge dieses Bootkits bis mindestens 2012 zurückdatieren. Interessant ist, dass sich die Komponenten der Malware in all den Jahren kaum verändert haben. Die Unterschiede zwischen den Versionen 2012 und 2020 sind nicht so signifikant, wie man erwarten würde. Nach all den Jahren eher unbedeutender Änderungen haben die Entwickler hinter ESPecter offenbar beschlossen, ihre Malware von veralteten BIOS-Systemen auf moderne UEFI-Systeme umzustellen.

Tipps zum Schutz vor UEFI-Bootkits

"ESPecter zeigt, dass sich die Entwickler hinter der Malware auf das Einnisten in der UEFI-Firmware verlassen und trotz vorhandener Sicherheitsmechanismen durchführen. Mit UEFI Secure Boot können solche Techniken leicht blockiert werden", sagt Martin Smolár weiter. Um sich vor ESPecter oder ähnlichen Bedrohungen zu schützen, rät ESET Anwendern, diese einfachen Regeln zu befolgen:

- Verwenden Sie immer die neueste Firmware-Version.

- Stellen Sie sicher, dass das System richtig konfiguriert und Secure Boot aktiviert ist.

- Konfigurieren Sie im Unternehmen das Privileged Account Management (PAM), um zu verhindern, dass Angreifer auf privilegierte Konten zugreifen, die für die Installation des Bootkits benötigt werden.

- Der Einsatz einer Sicherheitslösung mit einem UEFI-Scanner schützt ebenfalls vor solchen Bedrohungen. ESET hat diese Technologie in seinen Endpoint-Sicherheitslöungen für Unternehmen und Privatanwender standardmäßig integriert.

Weitere technische Details gibt es auf WeliveSecurity: https://www.welivesecurity.com/deutsch/2021/10/06/especter-bootkit-neue-bedrohung-in-der-efi-systempartition

Aussender: ESET Deutschland GmbH
Ansprechpartner: Christian Lueg
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Tel.: +49 3641 3114 269
Website: www.eset.com/de