Risikoeinschätzung Virensystem

[Sebbi]

Hallo zusammen,

ich habe mal eine Frage für einen Freund von mir:

Folgendes ist passiert:

Bei seiner kleinen Firma hat sich leider Ransomware breitgemacht und alle Systeme verschlüsselt. Danach wurden alle Netzwerke getrennt.
Ein neuen Win 10 22H2 Rechner (der vorher nie im Netzwerk etc war) wurde aufgesetzt und mit allen Updates und Patches versorgt. Mit diesem Rechner wurde via LAN auf das NAS sowie mit RDP auf den einige Verschlüsselte Systeme zugegriffen, um Sicherungs und Servicearbeiten für die Forensiche Untersuchung durchzuführen. Dabei wurden auch Logeinträge über die RDP Verbindung kopiert und auf diesen Neuen Rechner gespeichert.
Der verwendete User war auch nur ein normaler User, kein Administrativer User auf dem neuen Windows System.

Dann wurde mit einen USB Stick die Logdaten von dem Windows auf einen Linuxrechner transferiert. An dem Windowsrechner wurde anschließend mit Diskpart der USB Stick mit Clean gelöscht und an dem Linuxgerät seine "Live Flashrettungsmedium" erstellt (sprich MBR + ein Teil der Daten überschrieben)


Ich selbst habe das System noch nicht gesehen, würde aber von euch gerne folgendes Wissen:

• inwieweit kann man den USB Stick noch vertrauen nach dem löschen mit Diskpart und den überschreiben des MBR auf dem Linux Rechner
• inwieweit kann man dem Windowsrechner noch vertrauen (Einschätzung Sicherheit RDP Verbindung / LAN Verbindung )
• inwieweit kann man dem Linuxrechner noch vertrauen.

Für mich würden natürlich alle Systeme zunächst einmal als kompromiert gelten, aber es stellt sich mir noch weiterhin Fragen:

• wie verbreitet derzeit BOOT / UEFI Viren sind, ob diese ein Extra OS benötigen, damit die das UEFI infizieren können oder ob es ausreicht, das der Stick schon nur angesteckt wird (OS unabhängig oder das UEFI BIOS den Stick versucht zu lesen?
• kann man UEFI Viren erkennen?
• kann man UEFI Viren entfernen? Reicht dazu ein Reset ?

Vielen Dank schon einmal für eure Antworten.

 

[Drewkev]

ob diese ein Extra OS benötigen

Ja, ich weiß gar nicht ob ein Virus im UEFI bzw. dessen Ebene überhaupt operieren kann.

 

[D0m1n4t0r]

Die sichere Variante ist die befallenen Laufwerke auszubauen und dann an ein garantiert nicht befallenes System anzuschliessen und zwar ohne dass noch ein 2. befallenes Betriebssystem läuft.
Lässt sich z.b. so machen dass man die Festplatten in ein externes USB/eSata Laufwerk packt oder per HotSwap falls möglich.
Zwar gibt es auch Viren die sich in der Firmware von Laufwerken einnisten, aber die sind eher selten. Den befallenen Rechner laufen lassen und dann per Netzwerk auf diesen Zugreifen ist für gewöhnlich jedenfalls keine gute Idee.

Was den Stick angeht, das kommt auf den Virus an. Wenn der Virus die Firmware vom USB Stick verändert ist der Stick für immer verloren.
Denn dann steht in der Firmware in etwa drin:
"Hallo Fremder PC, ich bin eine Tastatur und kein USB Stick. Hier, das hat der User gerade eingegeben: Admin Rechte holen, Virus aus USB Stick kopieren und mit Adminrechten ausführen."

Ist natürlich ein Worst Case Szenario, aber es ist möglich. Die meisten Verschlüsselungstrojaner agieren aber nicht so. Die nisten sich irgendwo im Boot Sektor ein, übernehmen die Treiber und verschlüsseln einfach nur alles.

Wobei es auch sein kann dass die Viren mittlerweile eine VM starten und in dieser läuft dann Windows.

 

[Sebbi]

ob ein Virus im UEFI bzw. dessen Ebene überhaupt operieren kann.

Doch das geht, das macht z.B. Trickbot oder BlackLotus

Den befallenen Rechner laufen lassen und dann per Netzwerk auf diesen Zugreifen ist für gewöhnlich jedenfalls keine gute Idee.

Das ist eben die Frage, inwieweit da mit der aktuellen Patchung ein Risiko besteht. Aber auf den Windowsrechner ist bisher auf jeden fall noch nichts verschlüsselt.


Ansonsten die Rechner sollen so oder so wieder frisch aufgesetzt werden - es geht hauptsächlich um die Möglichkeit, ob der USB Stick jetzt noch eine Infzierung weitertragen kann nachdem der MBR und Daten neu geschrieben wurden auf einen Linuxsystem und wie hoch die Wahrscheinlichkeit ist, das die Rechner auch nach einer Reinstallation ggf kompromitiert sein könnten.

 

[h00bi]

UEFI Viren sind unheimlich komplexer "Geheimdienst-Shizzle" der auch zum jeweligen UEFI passen muss und es muss eine Schwachstelle vorhanden sein.
Bei normaler Ransomware kannst du davon ausgehen, dass nur die Massenspeicher getroffen sind.
Alle Massenspeicher raus, komplett wipen, wieder rein, neu installieren bzw. Backup wiederherstellen.

 

[GrumpyCat]

UEFI Viren sind unheimlich komplexer "Geheimdienst-Shizzle" der auch zum jeweligen UEFI passen muss

Nene: https://www.golem.de/news/emotet-trickbot-hat-es-auf-das-bios-abgesehen-2012-152576.html
Da das bereits als Modul in Emotet "verfügbar" ist, ist das alles auch schon lange im "Alltag" angekommen leider.
Module im UEFI austauschen wird z.B. in der Modding-Community auch schon seit sozusagen Anbeginn der UEFI-Zeit gemacht.

Ich würde das UEFI vom Windows-PC einfach nochmal neu flashen, wenn wirklich entsprechender Verdacht besteht. UEFI-Modul-Krams könnte das natürlich prinzipiell auch abfangen, aber in der Praxis wird das kaum passieren.

Ein USB-Stick ist nach Löschen sicher. Das ist nur ein "Array of Byte" letztendlich.

 

[Sebbi]

UEFI Viren sind unheimlich komplexer "Geheimdienst-Shizzle"

nicht so wenn ich mir das durchlese: https://www.security-insider.de/schadcode-im-uefi-a-1022733/

und Trickbot ist nun schon länger kein unbekannter mehr

 

[Drewkev]

Doch das geht, das macht z.B. Trickbot oder BlackLotus

Ok, und die machen was genau im UEFI? Man könnte dieses bspw. neu draufspielen.

 

[Sebbi]

und die machen was genau im UEFI?

siehe die Links, die greifen in den Bootvorgang ein.

Ein USB-Stick ist nach Löschen sicher. Das ist nur ein "Array of Byte" letztendlich.

ok.
Wobei, klingt zwar etwas paranoid, aber ist es möglich, die Firmware auf einen USB Stick via der normalen USB Schnittstelle zu konfigurieren bzw infizieren? Oder müsste man dann tatsächlich direkt an den Chip ran ?

 

[Drewkev]

siehe die Links, die greifen in den Bootvorgang ein.

Ok, aber auch nur dann wenn das BIOS nicht passwortgeschützt ist, also erstmal relativ harmlos.

Und das sollte in einem Unternehmen generell nicht sein.

 

[GrumpyCat]

Wobei, klingt zwar etwas paranoid, aber ist es möglich, die Firmware auf einen USB Stick via der normalen USB Schnittstelle zu konfigurieren bzw infizieren?

Naja, sagen wir's so, bei bestimmten Marken von USB-Sticks gibt es sicherlich undokumentierte Wege, sie so zu manipulieren. Wenigstens bei SD-Karten zum Beispiel ist auf der Karte meist schon alleine für Testzwecke mehr Hardware drauf "als verkauft wird": https://media.ccc.de/v/30C3_-_5294_...oitation_of_an_sd_memory_card_-_bunnie_-_xobs

Da das aber hardware-/herstellerspezifisch und hoffentlich auch normalerweise nach dem Verlassen der Fabrik abgeriegelt ist, würde ich mir da keine Kopf machen.

Ergänzung (24. April 2023)

aber auch nur dann wenn das BIOS nicht passwortgeschützt ist

Sagt wer?

 

[Dr. McCoy]

inwieweit kann man den USB Stick noch vertrauen nach dem löschen mit Diskpart und den überschreiben des MBR auf dem Linux Rechner

BadUSB kann durchaus ein Thema sein:
https://www.golem.de/news/rubber-ducky-vom-hacken-und-absichern-der-usb-ports-2005-148286.html

Dazu müssen Angreifer die Firmware des USB-Gerätes so manipulieren, dass sich ein USB-Stick, eine Webcam, ein USB-Hub oder eine Maus kurzzeitig oder dauerhaft als Tastatur ausgeben und munter drauf lostippen können.

Besonders perfide: Ein fremder Rechner kann ein USB-Gerät, etwa einen Stick, vom Nutzer unbemerkt umprogrammieren und so in einen Schad-Stick verwandeln.

So ein USB-Stick hat ja gegenüber den Gesamtschäden durch die Verschlüsselung etc. nur einen untergeordnet verschwindend geringen Materialwert. Da würde ich einfach einen neuen nehmen.

• inwieweit kann man dem Windowsrechner noch vertrauen (Einschätzung Sicherheit RDP Verbindung / LAN Verbindung )
• inwieweit kann man dem Linuxrechner noch vertrauen.

Da Du nicht weißt, was im Anschluss genau gemacht wurde, und da ja die gleichen Admins vorher schon das Firmennetzwerk nicht so sonderleich gut abgesichert hatten, die nach der Infektion mit diesen Systemen agierten, würde ich diese beiden Systeme einfach neu aufsetzen. Das sollte ja schnell gehen, das es sich dabei offensichtlich auch nur um Provisorien handelte.

 

[Drewkev]

@GrumpyCat
Sorry, ich meinte schreibgeschützt. Aber auch dafür gilt meine Aussage, ein OEM der das nicht oder falsch macht würde mir niemals ins Haus kommen.

 

[D0m1n4t0r]

Da ein USB Stick jetzt nicht so teuer ist, würde ich den einfach entsorgen.

 

[Sebbi]

So ein USB-Stick hat ja gegenüber den Gesamtschäden durch die Verschlüsselung etc. nur einen untergeordnet verschwindend geringen Materialwert.

mag sein, geht aber um die Einschätzung des Risikos das das passiert ist. Danke aber für den Hinweis auf BadUSB, wird getestet

Da ein USB Stick jetzt nicht so teuer ist, würde ich den einfach entsorgen.

sry, aber ob teuer oder nicht kann ich nicht abschätzen, er hat danach gefragt und ich weiß nicht was der da rumfliegen hat. ggf war es auch so n extrem schneller Stick, ka. wie schon oben gesagt, geht um die Risiko Einschätzung

 

[GrumpyCat]

BadUSB ist eher so ein "mit neuem Innenleben versehene USB-Sticks auf Parkplatz ausstreuen und hoffen, dass sie jemand in einen Firmen-PC steckt"-Szenario, das hier nicht zutrifft. Per Malware einen normalen angeschlossenen USB-Stick zu übernehmen und dessen Firmware zu ändern ist tatsächlich eher Geheimdienst-Zeugs und klappt auch nur in Ausnahmefällen (wenn der angeschlossene USB-Stick eine unverschlossene Firmware hat und deren technische Details dem Angreifer bekannt sind).

Aber der Test auf BadUSB (zumindestens die "gibt sich als Tastatur aus"-Variante) ist auch simpel: Unter Linux Lockscreen anschalten, Stick anschließen, abziehen, ins dmesg schauen. Hatte sich eben kurzzeitig eine neue Tastatur angemeldet? Wenn ja, weg damit.

Ich halte das Szenario aber wie gesagt für eher ausgeschlossen.

 

[cumulonimbus8]

wie schon oben gesagt, geht um die Risiko Einschätzung

Alles vernichten und verschrotten. Alles was ein «BIOS» (Firmware) hat.
Oder man sieht es realistisch, dass ein Schädling diese Couleur nicht dadurch auffällt Systeme unbrauchbar zu machen. Und auch nicht so komplex in Fimwares steckt, dass es effektiv doch einem Geheimdienst gut zu Gesicht stände.
Cryptotrojaner vernichten Daten, reißt man das Dateisystem weg ist Ruhe.
Wir sind (wie anders denn per Phishing soll solche Störsoftware herinkommen?) zu kleine Würstchen für solche HW-Manipulationen.

Dein Freund hat einige Fehler gemacht.
NAS ist OK; aber auf keinen Fall ein Windoes-Netzwerk. Weil? Wir das auch hatten und sich nur über diesen Mechanismus das Zeug verbreiten konnte. (Mit einer Ungeschicklickeit habe ich mir da gleich noch eine Mine gelegt die hochging).
Fehler zwei - derjenige der das Pfui!-Zeugs an Bord holte. Phishing! Da hilft nur Training, Training, Training.
Fehler drei - Backup in Form von Systemimages. Wie gesagt, wir sind zu kleine Lichter. Also Workstations flott wieder aufrödeln und dann das NAS. Das ist schneller als alle krampfartigen Maßnahen Teufel auszutreiben die nicht da sind.
Ich weiß leider wovon ich rede.

CN8

 

[Sebbi]

Wir sind (wie anders denn per Phishing soll solche Störsoftware herinkommen?) zu kleine Würstchen

ok, ein kleiner Hintergrund dazu: die Firma ist ein Zulieferer von einer Firma aus einen Bereich, der aktuell bei einigen Ländern wohl ganz oben auf der roten Liste steht.
von daher ist die Frage eher, ob das gezielt oder Zufall war. Das wird aber die Auswertung dieser Daten ergeben.

Ich PERSÖNLICH gehe von Zufall und nur einen einfachen Ransom Angriff. Aber sowas muss man nachprüfen.

aber auf keinen Fall ein Windoes-Netzwerk. Weil? Wir das auch hatten und sich nur über diesen Mechanismus das Zeug verbreiten konnte.

die Windowsachen sind alle virtualisiert, Basis ist natürlich ein Linux System. Nur dennoch wurde Daten von Windowskisten benötig. Gemeinerweise hatte einer die Idee, Bitlocker zu aktivieren, so das man nichts aus den vHDDs auslesen kann, wenn das OS nicht läuft. Klasse gemacht.

das Windows Netzwerk ist leider notwendig .... Branchensoftware ftw.

Pfui!-Zeugs an Bord holte.

darüber ist noch nichts bekannt. vermutet wird aber, das ggf die Windowslücke ausgenutzt wurde, die diesen Monat erst den Flicken erhalten hat und das eventuell gar keiner direkt da Schuld hat.

Backup in Form von Systemimages

Sind vorhanden

Das ist schneller als alle krampfartigen Maßnahen Teufel auszutreiben die nicht da sind.

ja das wird auch gemacht, aber das ganze dient aber den folgenden Zweck, um zu prüfen, OB die Hardware der Clients weiterverwendet werden kann oder neu beschafft werden muss.

-----

So folgend Aktionen sind nun passiert und im Gange:

• Bios des Windowsrechners wurde mit einen sauberen USB Stick neu geflasht, dabei ist auch durch den Flash auch ein Reset aller Einstellungen vorgenommen wurden. Lt diversen Quellen sollten damit UEFI Viren normalerweise eliminiert sein.
• Der Windowsrechner wird nun mit einer LiveCD on USB Stick auf Viren und Rootkits geprüft.

Sollte nichts auf dem Rechner nichts zu finden sein, gehe ich auch nicht von BadUSB aus. Werde aber mal noch prüfen, wie sich das Gerät unter Linux anmeldet

 

[Drewkev]

Der Windowsrechner wird nun mit einer LiveCD on USB Stick auf Viren und Rootkits geprüft.

Womit? McAfee Stinger? Desinfec't?

 

[Sebbi]

1x Avira Live CD
1x Norton Bootable Recovery Tool

von Hirens Boot CD

1x ESET Online Scanner
1x McAfee Stinger
1x Kaspersky Virus Removal Tool