# LoJax  UEFI Trojaner gesichtet



## RyzA (29. September 2018)

Hallo!


Es wurde ein neuer Trojaner entdeckt welcher sich ins UEFI Bios einnisten kann:



> Der Antivirenspezialist Eset hat zum ersten Mal ein UEFI-Rootkit entdeckt, das bereits beim Start des Rechners geladen wird und eine Ebene unter dem Betriebssystem agiert. Eset stellte die Schadsoftware am 27. September 2018 auf der Sicherheitskonferenz BlueHat von Microsoft vor. Voraussetzung für den Angriff ist ein älteres Gerät, dessen UEFI nicht aktualisiert wurde, sowie das Betriebssystem Windows. Der Angriff wird der Hackergruppe APT28 zugeordnet, die für ausgefeilte Hacks auf staatliche Institutionen bekannt ist. Die Software soll bisher in Ost- und Mitteleuropa zum Einsatz gekommen sein. Eine Adaption des Angriffs durch Kriminelle ist nicht auszuschließen.


 Quelle: LoJax: UEFI-Rootkit in freier Wildbahn gesichtet - Golem.de

Weitere Quellen:

Lojax: Der Spion, der aus dem BIOS kam |
    heise Security

LoJax: Erstmals wurde ein UEFI-Rootkit in freier Wildbahn gefunden - WinFuture.de

Wenn man ein aktuelles Bios hat oder Secure Boot aktiviert kann man sich wohl dagegen schützen. Ich bin mal gespannt wie auch die ganzen Antivirenprogramm Hersteller reagieren werden. So dass der Trojaner  schon vorher erkannt und abgefangen werden kann.  Es wurde  auch schon im Fernsehen gesagt, dass bereits im Darknet damit fleissig gedealt wird und auf Anfragen Kits mit Schadcode zur Verfügung gestellt werden.


----------



## Corsair_Fan (29. September 2018)

*AW: LoJax  UEFI Virus gesichtet*

jup auch schon in der Bild online gelesen. Wird ja immer besser mit den Viren, wie soll man sich da nur noch schützen am besten kein Internet.
Was mich nur bissel Wunder das ETS oder so den als einzige entdeckt haben.


----------



## Gamer090 (29. September 2018)

> Voraussetzung für den Angriff ist ein älteres Gerät, dessen UEFI nicht aktualisiert wurde, sowie das Betriebssystem Windows.



Das ist ein grosses Problem, weil 1. der Normale Nutzer nicht mal weiss was UEFI ist und 2. auch nicht daran denkt das es mal ein Update benötigen könnte. Hier im Forum werden wohl die meisten einen Halbwegs aktuellen PC mit entsprechendem aktuellem UEFI besitzen, aber der Normale Nutzer kauft sich einen PC für 10 Jahre oder länger, das auch noch kaum mit Updates versorgt wird, ausser Windowsupdates.


----------



## Corsair_Fan (29. September 2018)

habe auch noch nie ein UEFI Update gemacht weil vom Hersteller nix mehr gekommen ist, das letzte war von 2013 und Beta Teile nin danke.
Hatte mir auch mal ein Board mit einem Bios Flash geschrottet erst ging mach Flash ging nix mehr.

Wo kann man seine aktuelle Vers. eigentlich einsehen?


----------



## RyzA (29. September 2018)

Corsair_Fan schrieb:


> Wo kann man seine aktuelle Vers. eigentlich einsehen?


U.a. mit "HWInfo". CPU-Z glaube ich auch.


----------



## SPEED-DAVID (30. September 2018)

Na ein glück für mein Z170 bord von MSI habs erst vor ein paar Monaten ein update.
Aber UEFI nutze ich  eh nicht nur Legacy-BIOS-Modus.
Macht mir zu viele probleme und schneller wirds auch nicht also wo zu.


----------



## DJKuhpisse (30. September 2018)

Ist so etwas auch bei einem normalen BIOS mit aktivem Write Protect und BIOS-PW möglich?


----------



## RyzA (30. September 2018)

Beim UEFI Vorgänger glaube ich nicht.


----------



## DJKuhpisse (30. September 2018)

Gut, dann bin ich sicher.
1. Kein Windows, 2. Kein UEFI.


----------



## Bandicoot (30. September 2018)

Glaub für meine 2 ist letzten Monat ein neues erschienen. Hab das März oder so drauf. 
Bissel lässtig ist das schon wen  jeden 3. Monat ein neues Update kommt. 
Und jetzt noch Uefi Trojaner..shit fucking car
Da kann man ja nur den Chip tauschen wenn das geht um den loszuwerden.
Ich hab seit Jahren ESET als AV Software.


----------



## DJKuhpisse (30. September 2018)

Gibt es da nicht so etwas wie Write Protect, sodas da nichts geschrieben werden kann?
Ich könnte mir auch vorstellen, dass der EFI-Bootmanager eine Problem ist, denn der Muss ja beschrieben werden können.


----------



## drstoecker (30. September 2018)

Mich würde mal interessieren ob amd oder Intel da auch noch den Unterschied machen.


----------



## DKK007 (30. September 2018)

SecureBoot schützt davor wahrscheinlich nicht, wenn das UEFI selbst kompromittiert ist. Denn dann gibt es sowohl die Möglichkeit, dass die Malware auf der Whitelist eingetragen wurde, als auch dass die Prüfroutine des SecureBoot manipuliert wurde. 
Schutz bietet wohl nur eine Systemverschlüsselung, die verhindert, dass die Rootkits ins Dateisystem geschrieben werden.



Headcrash schrieb:


> Ich bin mal gespannt wie auch die ganzen Antivirenprogramm Hersteller reagieren werden.


Antivierenprogramme können gegen den Schadcode im UEFI selbst nichts ausrichten, da sie da nicht rankommen. 
Die können nur den Schadcode löschen, der bei jedem Boot neu ins Dateisystem injiziert wird.


----------



## Corsair_Fan (30. September 2018)

angeblich hatt ja ESET einen Bios/UEFI Scanner als einzige im Moment der verhindern soll das sich der LoJax ins Bios installieren soll


----------



## RyzA (30. September 2018)

DKK007 schrieb:


> Antivierenprogramme können gegen den Schadcode im UEFI selbst nichts ausrichten, da sie da nicht rankommen.
> Die können nur den Schadcode löschen, der bei jedem Boot neu ins Dateisystem injiziert wird.


Ja aber bevor er ins Bios gelangt muß er ja schon woanders irgendwo (zwischen) gespeichert werden. Oder nicht?


----------



## Dooma (15. Oktober 2018)

Gamer090 schrieb:


> Das ist ein grosses Problem, weil 1. der Normale Nutzer nicht mal weiss was UEFI ist und 2. auch nicht daran denkt das es mal ein Update benötigen könnte. Hier im Forum werden wohl die meisten einen Halbwegs aktuellen PC mit entsprechendem aktuellem UEFI besitzen, aber der Normale Nutzer kauft sich einen PC für 10 Jahre oder länger, das auch noch kaum mit Updates versorgt wird, ausser Windowsupdates.



Nur weil man sich halbwegs auskennt und "Qualitäts-Hardware" gekauft hat, ist man noch lange nicht aus dem Schneider.

Mein altes Haswell Z87 Board von MSI ist keine Billigschleuder gewesen und trotzdem kommen die mit ihren Biosupdates nicht in die Puschen.
Es gibt bis jetzt noch keines gegen Spectre.
Ich zweifle inzwischen daran das es "überhaupt" noch eines von denen geben wird.

Die sagen zwar, dass dran gearbeitet wird. Aber einen Status zum Stand der Arbeit und wann geplant ist welches Board  zu überarbeiten, das sagen sie einem nicht.

Also geh ich erstmal davon aus, dass die Lücke schonmal drinne bleibt...

Ok, darüber geht jetzt kein ausführbarer Code, kann man aber auch mehr als glücklichen Zufall bezeichnen, die Lücke hätte auch anders aussehen können und wäre dann trotzdem immer noch nicht gepatched.

Secure Boot funktionierte bei mir auch noch nie, schon "ab Werk" nicht. Der fährt damit gar nicht mehr hoch, obwohl alles OK ist. Mein Tipp liegt auch hier darauf, dass die bei MSI was verbockt haben und die Funktion einfach nicht richtig arbeitet.

Eigentlich war ich immer sehr zufrieden mit dem Board, rein von der Funktionsweise und Stabilität her zumindest. Aber diese mieserable Kundenpflege und bescheidene Update Politik, hält mich z.B. ganz sicher davon ab nochmal ein Board von denen zu kaufen.

Aber zu welchem %-Satz gehör ich hier von den Usern dieser Mainboards? 1%? Oder vielleicht sogar eher 0,1%?
Inzwischen würde ich sogar eher auf letzteres Tippen.
Gerade bei der "jüngeren" Generation von PC Benutzern merk ich immer wieder, wie die schlicht gar keine Ahnung mehr haben und auch gar nicht wollen. Es soll "einfach nur funktionieren".
Sicherheitsrisiken sind denen schlicht und ergreifend mindestens egal.
Wobei ich davon überzeugt bin, dass die gar nicht begreifen (wollen) welche Folgen ihr Verhalten gepaart mit bösen Absichten eines Malware-Schreibers wirklich hat.


----------



## kozfogel (16. Oktober 2018)

SPEED-DAVID schrieb:


> Na ein glück für mein Z170 bord von MSI habs erst vor ein paar Monaten ein update.
> Aber UEFI nutze ich  eh nicht nur Legacy-BIOS-Modus.
> Macht mir zu viele probleme und schneller wirds auch nicht also wo zu.



Das ist leider egal - dein BIOS ist kein BIOS, sonderen eine Emulation in deinem EFI.


----------

