[o1] Jason1476
am 25.01. 15:52
+20
-5
"Die leichtere Lösung ist hier dann ein Austausch des Motherboards, was in vielen Fällen letztlich einem wirtschaftlichen Totalschaden gleich kommt."
Also so ein Mainboard ist eigentlich der günstigste Teil derzeit solange man kein Ultra Highendboard hat.
Keine Ahnung wie man da von einem wirtschaftlichen Totalschaden reden kann.
Also so ein Mainboard ist eigentlich der günstigste Teil derzeit solange man kein Ultra Highendboard hat.
Keine Ahnung wie man da von einem wirtschaftlichen Totalschaden reden kann.
@Jason1476:
Naja, einfache Bürokisten bestehen ja fast nur aus einem Mainboard ;)
Und wenn man dann noch die Arbeitszeit für einen Techniker bedenkt, dann evtl doch.
Naja, einfache Bürokisten bestehen ja fast nur aus einem Mainboard ;)
Und wenn man dann noch die Arbeitszeit für einen Techniker bedenkt, dann evtl doch.
@Jason1476: Geht vermutlich darum, dass man unter Umständen genau das gleiche nicht mehr bekommt und ggf. dann der RAM/Prozessor zum neuen inkompatibel ist (Sockelwechsel, neue DDR-Version), natürlich je nach Alter des infizierten PCs.
@Jason1476: du vergisst, dass die Masse Notebooks kauft. Auf jeden Fall verlötete CPU. Oft verlöteter Speicher. Leider sogar manchmal verlötete SSD. Das ist dann auf jeden Fall ein wirtschaftlicher Totalschaden, denn außer Gehäuse und Display bleibt bei so einem Gerät ja nichts übrig, wenn man das Board ausbaut.
also wenn man das aus dem laufenden system heraus infizieren kann, dann wird es ja wohl auch einen weg geben um das wieder loszubekommen - oder reden wir hier von einem physischen angriff?
@CaNNoN: Das habe ich mir auch gedacht ... Wenn ein Trojaner in diesen Speicher schreiben kann, wird das doch wohl auch durch andere Software möglich sein?!
@Zwerchnase: Ich tippe mal auf ein BIOS-Update. Da sich die Malware dort einnistet, sollte ein BIOS-Update helfen können, da damit ja der Inhalt entsprechend überschrieben wird.
Das funktioniert natürlich nur, solange sich das BIOS nicht selbst um das Update kümmert oder das nachgelagert übers OS erfolgt, denn dann hat das BIOS ja schon die Kontrolle darüber und könnte dir den Flash-Vorgang ja auch vorspielen.
Funktionieren sollte das auf Systemen, die mit "BIOS Emergency Recovery", "CrashFree BIOS" oder dergleichen beworben werden. Also Systeme, die selbst mit kaputtem BIOS das Flashen des BIOS erlauben (ASUS, Gigabyte, etc.).
Hat man das nicht, müsste man zu einem externen EEPROM-Programmer greifen, ist ein bisschen aufwendiger und nicht unbedingt Hardware, die jeder zuhause rumliegen hat, aber noch machbar.
Was mich in dem Artikel aber doch sehr verwundert ist folgende Passage:
"Für gewöhnlich nisten sich solche Malwares in der EFI System Partition (ESP) der Festplatte bzw. der SSD ein, in der auch der überwiegende Teil des UEFI-Codes zu finden ist. Hier kann man die Infektion zumindest dadurch loswerden, dass man den Festspeicher komplett austauscht und das Betriebssystem auf dem neuen Medium installiert."
Habe ich was verpasst? Partitionen löschen und neu erzeugen, dann ist der EFI-Bereich doch weg? Das geht mit jedem halbherzig zusammengeschusterten Rettungssystem?! CloneZilla macht das, vermutlich 20 Tools der ubcd machen das, selbst eine beliebige Linux- oder Windows Live-CD könnte das.
Der Vorschlag, den ganzen Datenträger zu entsorgen und durch einen neuen zu ersetzen scheint mir etwas weit hergeholt, ebenso könnte man dann dazu raten, Maus, Keyboard und Bildschirme zu tauschen.
Das funktioniert natürlich nur, solange sich das BIOS nicht selbst um das Update kümmert oder das nachgelagert übers OS erfolgt, denn dann hat das BIOS ja schon die Kontrolle darüber und könnte dir den Flash-Vorgang ja auch vorspielen.
Funktionieren sollte das auf Systemen, die mit "BIOS Emergency Recovery", "CrashFree BIOS" oder dergleichen beworben werden. Also Systeme, die selbst mit kaputtem BIOS das Flashen des BIOS erlauben (ASUS, Gigabyte, etc.).
Hat man das nicht, müsste man zu einem externen EEPROM-Programmer greifen, ist ein bisschen aufwendiger und nicht unbedingt Hardware, die jeder zuhause rumliegen hat, aber noch machbar.
Was mich in dem Artikel aber doch sehr verwundert ist folgende Passage:
"Für gewöhnlich nisten sich solche Malwares in der EFI System Partition (ESP) der Festplatte bzw. der SSD ein, in der auch der überwiegende Teil des UEFI-Codes zu finden ist. Hier kann man die Infektion zumindest dadurch loswerden, dass man den Festspeicher komplett austauscht und das Betriebssystem auf dem neuen Medium installiert."
Habe ich was verpasst? Partitionen löschen und neu erzeugen, dann ist der EFI-Bereich doch weg? Das geht mit jedem halbherzig zusammengeschusterten Rettungssystem?! CloneZilla macht das, vermutlich 20 Tools der ubcd machen das, selbst eine beliebige Linux- oder Windows Live-CD könnte das.
Der Vorschlag, den ganzen Datenträger zu entsorgen und durch einen neuen zu ersetzen scheint mir etwas weit hergeholt, ebenso könnte man dann dazu raten, Maus, Keyboard und Bildschirme zu tauschen.
@Rashiade: Vermutlich wurde hier das Einnisten in die Festplatten Firmware mit reingemischt.
Ich wäre aber auch vorsichtig bei BIOS Reflash also Lösung. Der externe Programmer ist Save aber die Flashtools per USB auf dem Mainboard werden ja auch irgendwie gesteuert (Firmware). Wenn die nicht abgesichert sind könnte das RootKit auch dort manipulieren.
Die Frage ist: überschreibt ein BIOS Update / Reflash die SPI Fehlerspeicher auch? Das ist ja ein extra freier Bereich der dauerhaft Fehlercodes und Fehlerevents unabhängig speichern soll.
Es soll aber auch anders gehen:
https://www.elektronikpraxis.vogel.de/spi-speicher-gezielt-per-software-zuruecksetzen-a-852918/
Ich wäre aber auch vorsichtig bei BIOS Reflash also Lösung. Der externe Programmer ist Save aber die Flashtools per USB auf dem Mainboard werden ja auch irgendwie gesteuert (Firmware). Wenn die nicht abgesichert sind könnte das RootKit auch dort manipulieren.
Die Frage ist: überschreibt ein BIOS Update / Reflash die SPI Fehlerspeicher auch? Das ist ja ein extra freier Bereich der dauerhaft Fehlercodes und Fehlerevents unabhängig speichern soll.
Es soll aber auch anders gehen:
https://www.elektronikpraxis.vogel.de/spi-speicher-gezielt-per-software-zuruecksetzen-a-852918/
@Nero FX: Das erledigt bei den "CrashFree"-Varianten normalerweise ein Chip, der dem BIOS "vorgeschaltet" ist und entweder gar nicht reprogrammiert werden kann oder nicht ohne manuelles Setzen von irgendwelchen Brücken.
Bei ASUS brauchst du dazu nicht einmal eine CPU verbaut haben, wird bei anderen Herstellern vermutlich ähnlich aussehen.
Mir ist nicht bekannt, dass es sowas wie einen "SPI Fehlerspeicher" überhaupt gibt. SPI (Serial Peripheral Interface) ist ein Bus-System-"Standard" zur Kommunikation zwischen 2 Bausteinen, der beispielsweise zur Programmierung von Mikrocontrollern (Atmel, PIC, etc.) oder auch EEPROMs genutzt wird. Darin sind gewisse Kommunikationseckpunkte festgelegt, damit man alle SPI-kompatiblen Geräte über den gleichen Weg ansprechen kann (das stimmt so nicht ganz, aber der Einfachheit wegen lasse ich das mal so stehen).
Nun ergeben sich 2 Fragen:
1. Warum sollte man nun einen SPI-Fehlerspeicher verbauen, der im üblichen Leben eines PCs bei 99% der User nie zum Einsatz käme und maximal zu Debugging-Zwecken genutzt werden könnte und zusätzliches Geld kostet? Hier wäre es nur denkbar, dass sowas in einem Datenbereich des BIOS gespeichert werden würde. Halte ich aber für unwahrscheinlich, die Anzahl der Schreibzyklen ist endlich und bei einem Fehler riskiert man, das EEPROM zu zerstören.
2. Nehmen wir an, es gibt so einen SPI-Fehlerspeicher. Warum sollte irgendwas, was in einem Protokoll steht, zur Ausführung gebracht werden? Hierzu müsste es dann erst einmal Sicherheitslücken in der grundsätzlichen Umsetzung dieses Protokolls geben.
Den von dir geposteten Link erklärt nur den Jedec-SPI-Standard, der mit dem SPI-Standard aber nicht mehr viel zu tun hat bzw. inkompatibel dazu ist, welches EEPROM nun welchen Standard umsetzt und welcher genutzt wird ist auch relativ egal, da du da von "außerhalb" nicht rankommst, auch nicht vom OS aus.
Bei ASUS brauchst du dazu nicht einmal eine CPU verbaut haben, wird bei anderen Herstellern vermutlich ähnlich aussehen.
Mir ist nicht bekannt, dass es sowas wie einen "SPI Fehlerspeicher" überhaupt gibt. SPI (Serial Peripheral Interface) ist ein Bus-System-"Standard" zur Kommunikation zwischen 2 Bausteinen, der beispielsweise zur Programmierung von Mikrocontrollern (Atmel, PIC, etc.) oder auch EEPROMs genutzt wird. Darin sind gewisse Kommunikationseckpunkte festgelegt, damit man alle SPI-kompatiblen Geräte über den gleichen Weg ansprechen kann (das stimmt so nicht ganz, aber der Einfachheit wegen lasse ich das mal so stehen).
Nun ergeben sich 2 Fragen:
1. Warum sollte man nun einen SPI-Fehlerspeicher verbauen, der im üblichen Leben eines PCs bei 99% der User nie zum Einsatz käme und maximal zu Debugging-Zwecken genutzt werden könnte und zusätzliches Geld kostet? Hier wäre es nur denkbar, dass sowas in einem Datenbereich des BIOS gespeichert werden würde. Halte ich aber für unwahrscheinlich, die Anzahl der Schreibzyklen ist endlich und bei einem Fehler riskiert man, das EEPROM zu zerstören.
2. Nehmen wir an, es gibt so einen SPI-Fehlerspeicher. Warum sollte irgendwas, was in einem Protokoll steht, zur Ausführung gebracht werden? Hierzu müsste es dann erst einmal Sicherheitslücken in der grundsätzlichen Umsetzung dieses Protokolls geben.
Den von dir geposteten Link erklärt nur den Jedec-SPI-Standard, der mit dem SPI-Standard aber nicht mehr viel zu tun hat bzw. inkompatibel dazu ist, welches EEPROM nun welchen Standard umsetzt und welcher genutzt wird ist auch relativ egal, da du da von "außerhalb" nicht rankommst, auch nicht vom OS aus.
Moment, den Chip kann man nur aufwändig neu flashen, aber das Schadprogramm kommt einfach da rein?
Wenn das Programm das kann, warum kann ein anderes Programm es nicht überschreiben?
Oder ist das ein WORM SPeicher?
Wenn das Programm das kann, warum kann ein anderes Programm es nicht überschreiben?
Oder ist das ein WORM SPeicher?
Das hat man davon, so geile abgekapselte Features wie Management Engine & Co zu implementieren. Aber für Intel/AMD ist das ja sogar noch gut .
nebenbei: wenn sich was in die efi-Partition setzt, dann kann man auch den Datenträger neu initialisieren, austauschen ist da nicht notwendig.
nebenbei: wenn sich was in die efi-Partition setzt, dann kann man auch den Datenträger neu initialisieren, austauschen ist da nicht notwendig.
So versucht man jetzt also die Hardware....Rechner....etc. unters Volk zu bringen? sehr...sehr mysteriös das ganze....;-))
Die Frage ist ob ich das Problem auch auf ein Linux Mint oder Bunsenlabs Linux habe.... ?
Bitte Antwort - statt Minus !!!!
Bitte Antwort - statt Minus !!!!
Was macht denn der Schädling? Macht er die Hardware nur unbrauchbar? Oder enthält er Schadcode, den der PC ausführt? Das geht doch einfacher: die CPU-Spannung, RAM-Spannung usw. auf max-Werte anheben.
@LinuxPast: Im letzten Absatz der Meldung ist zu lesen:
"Hinzu kommt, dass die Ziele normaler Krimineller meist auch einfacher zu erreichen sind. Anders sieht es hingegen aus, wenn das Ziel in Spionage auf wirtschaftlicher oder staatlicher Ebene liegt."
Nichts genaues weiß man nicht, aber simple Zerstörungswut ist doch Kinderkacke, das hatte man höchstens vielleicht in den Achtzigern oder frühen Neunzigern als Ziel.
"Hinzu kommt, dass die Ziele normaler Krimineller meist auch einfacher zu erreichen sind. Anders sieht es hingegen aus, wenn das Ziel in Spionage auf wirtschaftlicher oder staatlicher Ebene liegt."
Nichts genaues weiß man nicht, aber simple Zerstörungswut ist doch Kinderkacke, das hatte man höchstens vielleicht in den Achtzigern oder frühen Neunzigern als Ziel.
"Hier kann man die Infektion zumindest dadurch loswerden, dass man den Festspeicher komplett austauscht und das Betriebssystem auf dem neuen Medium installiert. "
..verstehe ich nicht. Warum nicht alles platt machen mit Secure erase und dann neu installieren? Ausbauen und neue SSD kaufen? why???
..verstehe ich nicht. Warum nicht alles platt machen mit Secure erase und dann neu installieren? Ausbauen und neue SSD kaufen? why???
Das ist eine EFI DXE binary malware, BIOS neuflashen und fertig. Dazu ist es a auf Windows ausgerichtete malware, die einen Treiber injeziert... Linux und flashrom und weg ist es. Wozu soll ich ein neues Motherboard kaufen wenn? o.O
"Die leichtere Lösung ist hier dann ein Austausch des Motherboards"
Das ist keine Lösung sondern Unfug.
Das ist keine Lösung sondern Unfug.
Liebe Redaktion, es wäre doch hilfreich zu erklären, wie man den SPI/ESP Teil prüfen kann oder zunindeat zu erkläreny warum Schadsoftware hineinschreiben kann, der Besitzer es aber nicht.
Ich gehe davon aus, dass die Schadsoftware gestohlene Schlüssel nutzt, die man dem User nixht geben möchte. Spätestens jetzt sollten die Hersteller nun aber eine Möglichkeit bieten, dass der Besitzer den Soeicher prüfen kann. Warum wurde da mein Hersteller dazu interviewt?
Ich gehe davon aus, dass die Schadsoftware gestohlene Schlüssel nutzt, die man dem User nixht geben möchte. Spätestens jetzt sollten die Hersteller nun aber eine Möglichkeit bieten, dass der Besitzer den Soeicher prüfen kann. Warum wurde da mein Hersteller dazu interviewt?
Was soll denn bitte genau ein SPI Speicher sein? SPI ist ein Standardprotokoll zur Kommunikation zwischen ICs und Mikrocontrollern/Prozessoren/SOCs/usw. Der einzige, über SPI programmierbare Flash Speicher auf einem Mainboard, der mir bekannt ist, ist der BIOS EEPROM Chip.
Nun stellen sich mir folgende Fragen:
1) es gab schon auf PCs Mitte der 80er BIOS Optionen und Jumper, die das Beschreiben des Flash Chips ohne vorherige manuelle Intervention (im Falle eines Jumpers sogar eine physische Änderung an der Hardware) verhindert haben. Ist dieses Wissen bei den heutigen BIOSen und Geräten wieder verloren gegangen? Viren, die sich im BIOS einnisten, sind jetzt nicht gerade neu.
2) Wenn der Flash Speicher im Betrieb beschrieben werden kann, warum kann er dann nicht im Betrieb gescannt und vom Virus bereinigt werden?
Bullsh*t Bingo vom Feinsten...
Nun stellen sich mir folgende Fragen:
1) es gab schon auf PCs Mitte der 80er BIOS Optionen und Jumper, die das Beschreiben des Flash Chips ohne vorherige manuelle Intervention (im Falle eines Jumpers sogar eine physische Änderung an der Hardware) verhindert haben. Ist dieses Wissen bei den heutigen BIOSen und Geräten wieder verloren gegangen? Viren, die sich im BIOS einnisten, sind jetzt nicht gerade neu.
2) Wenn der Flash Speicher im Betrieb beschrieben werden kann, warum kann er dann nicht im Betrieb gescannt und vom Virus bereinigt werden?
Bullsh*t Bingo vom Feinsten...
Unter anderem solch ein Szenario wurde von den UEFI-Kritikern immer wieder prognostiziert. Aber das ist halt wie seinerzeit bei der NSA-Affäre: solange es nicht wirklich passiert und publik wird, sind das ja alles nur paranoide Spinner. Dumm gelaufen, würde ich sagen. Vielleicht findet sich ja jemand, der die Malwareattacken auch einfach für beendet erklärt? Nein? <scnr> <eg>
Da man hier wohl beim Verfassen des Artikels eher auf Paste and Copy gesetzt hat, ohne Inhaltlich auf die Wege der Infektion einzugehen. Schaute ich nach anderen Infos zu dem Thema "Moon Bounce".
https://securelist.com/moonbounce-the-dark-side-of-uefi-firmware/105468/
Bislang alles eher dürftig, so wirklich Gute Artikel in deutsch findet man soweit nach meiner Suche nicht.
Und im Englischen scheint es nur bedingt zur Zeit was brauchbares zu geben.
https://securelist.com/moonbounce-the-dark-side-of-uefi-firmware/105468/
Bislang alles eher dürftig, so wirklich Gute Artikel in deutsch findet man soweit nach meiner Suche nicht.
Und im Englischen scheint es nur bedingt zur Zeit was brauchbares zu geben.