BIOS-Ransomware

 Bisher haben wir Glück gehabt.

Eine theoretische Betrachtung, was mit Ransomware noch möglich sein kann.


BIOS/UEFI-Ransomware

https://www.heise.de/newsticker/meldung/BIOS-UEFI-mit-Ransomware-infiziert-3630662.html

Die BIOS-Ransomware wird sich im FLASH-Speicher vom BIOS befinden und den Rechner so lange blockieren, bis der richtige Key eingegeben wurde. Eine Verschlüsselung des BIOS-Inhaltes selbst würde nur zum Brick führen. Eine Verschlüsselung der angeschlossenen Speichermedien ist nicht unbedingt erforderlich aber zu erwarten (s. u. Bärendienst), um den technischen Aufwand einer manuellen Beseitigung zu erhöhen.

Im wesentlichen hilft dann nur noch zahlen oder die Hardware (Mainboard) auszutauschen. Ich vermute das besonders Firmen und Krankenhäuser zahlen werden, da ein Hardwareaustausch, ein neu-flashen des BIOS über einen Programmieradapter und zusätzlich sind auch Windows-Keys und Backup je PC zurückzuspielen, zu lange dauert. Die Startmöglichkeit von USB-Live-Systemen und anderen Boot-Medien für ein neu-flashen ist dann von der BIOS-Ransomware bestimmt abgeschaltet. Backups können erst mit frischer Hardware eingespielt werden, denn solange eine Ransomware aktiv ist werden auch neue Festplatten schnell über die eingebauten SATA-Security Features wieder verschlüsselt und damit unbrauchbar werden (s. Bärendienst), bzw. der Computer gibt diese Medien erst gar nicht frei. Selbst wenn gezahlt wurde und die Rechner wieder normal starten, kann man sich nicht sicher sein, ob nicht doch ein Trojaner etc. im BIOS übrig geblieben ist. Ein manuelles nach-flashen mit Programmieradapter und saubere BIOS-Firmware wird also immer erforderlich werden. Ein nachträgliches Überschreiben mit Programmiersoftware (s. FLASHROM) aus einem (nun möglich) vom BIOS aus gestartetem Betriebssystem (Live-System inklusive), stellt die Beseitigung der Schadsoftware im BIOS m. A. n. nicht sicher.

Mainboards mit Dual-Bios könnten hier Abhilfe schaffen. Allerdings würde nur ein automatisches Umschalten zu 2x BIOS-Ransomware im Computer führen. WP-Jumper bleiben weiterhin obligatorisch. Ein DualBios ist sinnvoll, wenn ein BIOS-Update fehl schlägt oder einer der FLASH-Speicher selbst ausfällt.


(Ob die BIOS-FLASH-Inhalte von den Computern unserer Abgeordneten auch mal überprüft wurden? s. Hackerangriff- Bundestag)


----------------------------------------------------------------------------------------------------

Zertifikate bzw. Signaturmechanismen helfen nicht bei direkter Sabotage.

Meist unterbewusst gehen wir davon aus, dass eine Schadsoftware ihren Wirtsrechner am Leben erhält. Der Wunsch nach Information und Geschäftsmodelle bis zu den Erpressungs-Trojanern bestätigt das in aller Regel. Oft kann ein System dann mit einer Live-Distribution noch gerettet werden.

Selten wird auf Sabotagemöglichkeiten eingegangen, die ein Computersystem vollständig stilllegen können. Hat ein Angreifer erst gar nicht die Absicht, eine Schadsoftware im Zielsystem fest zu etablieren, dann sind auch keine späteren Signatur- und Zertifizierungs- Maßnahmen, als Blockade für diese Software vom Angreifer zu berücksichtigen.  

Der Artikel „Bärendienst“ beschreibt eine Sabotagemöglichkeit über SATA-Kommandos. Festplatten lassen mit ihrer Hardware eine Verschlüsselung zu (s. ATA-Security Feature Set), die auch missbraucht werden kann. Wird das Passwort nun gesetzt und bleibt dem Anwender unbekannt, ist kein Zugriff mehr auf das Betriebssystem und die Dateien möglich. Neben dem im Bericht genannten Lösungen, könnte auch ein WP-Schalter an der Festplatte hier das Aktivieren oder Ändern der Passwortabfrage verhindern. (Mein Designhinweis an die HD-Entwicklung für die nächste WP-SSD Spezifikation: Der WP-Jumper blockt auch die Passwortänderung/-Aktivierung der ATA-SEC-Kommandos).

Eine vergleichbare Möglichkeit ein Computersystem stillzulegen sehe ich auch bei den FLASH-Speicherbausteinen BIOS, und den anderen Firmwarespeichern im Computersystem.

Die einfachen FLASH-Speicher haben üblicherweise keine eingebauten Verschlüsselungsverfahren. Es sind aber Steuerkommandos wie ERASE_ALL implementiert, die innerhalb von wenigen Millisekunden den gesamten Baustein löschen können. Werden diese Kommandos an einem FLASH-Speicher gesendet, haben sie eine fast identische Wirkung, wie eine nicht mehr auflösbare Verschlüsselung. Nach einem Kaltstart findet der Computer keine gültige Software vor und startet nicht mehr.

Geht man davon aus, dass eine Schadsoftware Administrationsrechte erlangt hat (das wird oft bestätigt), ist eine Ausführung von SATA- oder FLASH-Kommandos möglich und auch ein Kaltstart kann mit diesen Rechten zu beliebiger Zeit erzwungen werden. Gerade eine immer aktive BIOS-Update-SW, für ein immer beschreibbares FLASH-BIOS, bringt die Voraussetzungen für erweiterte Schreibrechte im System mit. Wie bei den Virenscannern, die auch erweiterte Systemrechte benötigen, kommt man hier den Angreifern auf halben Weg entgegen (s. a. „Vom Jäger zum Gejagten: Kaspersky-Virenscanner ...").    

Die Ausführung der ERASE-Kommandos werden allerdings auch mit aktiven /WP-Eingang an den FLASH-Bausteinen geblockt.

Die unterschiedlichen PC-Chipsätze und die uneinheitlichen Verfahren, um ein ERASE-ALL oder generell eine Programmierung in den FLASH-Bausteinen zu aktivieren, erfordern ein sehr gezieltes Entwickeln der Schadsoftware. Spätestens hier würde ich gerne wissen, warum besonders die Administration von homogenen MainBoard-Strukturen und Serverfarmen nicht eine hardwareseitige Schreibschutzmöglichkeit vom BIOS einfordert, sondern nicht selten sogar das Gegenteil verlangt.

Es gibt auf Mainboards auch oft ein zweites BIOS / Shadow-FLASH als Sicherheits- und Rückfalloption, wenn das eigentliche BIOS-Update fehlgeschlagen ist. Diese doppelten BIOS-Speicher sollten aber auch erst mit einem manuellen Umsetzen eines Jumpers(!) aktiviert werden. Ist die Aktivierung des zweiten Bausteins wieder über das PC-Chipset möglich, erwarte ich gleichfalls eine schnelle Löschung auch dieses Bausteins.
Allgemein stellt sich mit der Aktivierung des redundanten Speichers immer die Frage, wie aktuell und daher systemstabil die darin enthaltene Software ist.
Eine weitere Schutzmaßnahme ist die Blockade von Lösch- und Programmieranweisungen durch die davor geschalteten PC-Chipsätze oder Speicherkontroller.

Hier ist aber auch wieder offen, wie und wann diese Blockade administrativ aktiviert oder deaktiviert wird und wie zuverlässig diese Blockade arbeitet (s. a. US-Cert warnt vor weiteren UEFI-BIOS-Lücken). Gerade weil ein BIOS-Update ja immer möglich sein soll, dürften die Schutzmechanismen nicht allzu hoch liegen.
Sind es wiederum nur SW-Bits in einem Kontroll-Register, die nur umprogrammiert werden müssen, oder (-Achtung ab jetzt Hardware!-) eine schaltbare Steuerleitung die ausgewertet wird oder die zuverlässige Blockade an den Speicherbausteinen selbst (/WP-Pin+Jumper).

Als Reparaturmaßnahme ist ein Öffnen des PC-Gehäuses meistens unvermeidlich, um einen Zugang zum Speicherbaustein zu erhalten. Ein Programmierclip oder ein JTAG-Anschluss erfordern nicht unbedingt den Ausbau der FLASH-Speicher für eine Reprogrammierung. Selten werden die BIOS-Speicher noch gesockelt.

Mit Interesse verfolge ich die Entwicklung der IoT-Technik. Für Billig-Produkte halte ich ein OTP-Design für angebracht.

Ob die neuen intelligenten Stromzähler auch ohne Firmware noch Strom ausliefern?- Mein bisheriger elektro-mechanischer Zähler arbeitet ohne Software und kann das.

(Dazu eine Romanempfehlung : BLACKOUT von Marc Elsberg)