Jenseits des Betriebssystems: Ransomware in der CPU
Wachsamkeit gegenüber Ransomware ist nichts Neues. Schließlich kann die Schadsoftware verheerende Schäden anrichten und Endgeräte oft dauerhaft in Mitleidenschaft ziehen, sofern keine wirksamen Wiederherstellungsprozesse vorhanden sind. Da viele Ransomware-Akteure versuchen, Schattenkopien zu löschen und andere Wiederherstellungsmethoden zu entkräften, ist Redundanz bei der Wiederherstellung unerlässlich. Mit dem Aufkommen von Microcode-Ransomware hat sich die Situation zusätzlich verschärft. Wenn der Microcode, der im winzigen Speicher der CPU läuft, infiziert ist, wird die Wiederherstellung aufgrund der Persistenz auch nach einem Neustart erheblich erschwert – eine Bedrohung, die bisher als unwahrscheinlich galt.
Ein Sicherheitsforscher hat jedoch kürzlich gezeigt, dass sich die UEFI-Firmware modifizieren lässt, indem ein nicht signierter Patch direkt auf dem Prozessor installiert wird. Diese Technik umgeht herkömmliche Antivirenlösungen und Gegenmaßnahmen des Betriebssystems. Obwohl Analysten bisher noch keine Ransomware beobachtet haben, die auf CPU-Ebene arbeitet, ist es wichtig, zu verstehen, wie diese potenzielle Bedrohung funktioniert und welche Abwehrmechanismen dagegen wirksam sein könnten.
Wie ein Ransomware-Angriff im Microcode funktioniert
In einem vor einigen Wochen veröffentlichten Proof-of-Concept ist es einem Sicherheitsforscher gelungen, einen Ransomware-Angriff direkt im Microcode des Prozessors durchzuführen. Damit wurde ein bislang wenig erforschter Vektor aufgedeckt, der eine bedeutende Veränderung in der Entwicklung von Malware darstellen könnte. Der Angriff nutzt eine Schwachstelle in AMD-Zen-Prozessoren der ersten bis fünften Generation aus. Diese Schwachstelle ermöglicht das Laden von nicht autorisiertem Microcode ohne ordnungsgemäße Signaturprüfung. Die Signaturprüfung ist eine der wichtigsten Gegenmaßnahmen, die von Betriebssystemen eingesetzt werden, um unbefugte Änderungen an kritischen Komponenten wie Bootloadern zu erkennen. Da der Microcode das grundlegende Verhalten der CPU steuert, könnte eine Änderung schwerwiegende Auswirkungen auf den Systembetrieb haben.
Google entdeckte diese Schwachstelle im Zuge der Identifizierung eines Fehlers im Signaturvalidierungsalgorithmus von AMD und demonstrierte dessen Umfang durch einen praktischen Test. In diesem Test veränderten die Forscher den Microcode, um die Zufallszahlengenerierungsfunktion des Prozessors zu manipulieren. Infolgedessen lieferte die CPU unabhängig vom Kontext der Anfrage immer die Zahl 4, was zeigt, dass es möglich ist, grundlegende interne Prozesse auf dem Chip zu manipulieren. In einem realen Szenario könnte dies ausgenutzt werden, um sensible Berechnungen wie die Generierung kryptografischer Schlüssel zu kompromittieren, die Überprüfung digitaler Signaturen zu stören oder Algorithmen zur Systemintegrität zu manipulieren.
Die Manipulation von Microcode für böswillige Zwecke wird inzwischen in Forschungsumgebungen untersucht. Die Ergebnisse liefern einen Ansatzpunkt, der in zukünftigen Verteidigungsstrategien berücksichtigt werden sollte. Es geht jetzt darum, sich Gedanken darüber zu machen, wie sich diese Art von Ransomware erkennen ließe, wenn sie in einem realen Angriff zum Einsatz käme.
In diesem Zusammenhang sind die Analyse von abnormalem Verhalten und die Korrelation von Ereignissen über die gesamte Infrastruktur hinweg Schlüsselelemente. Der Einsatz von Tools, die Informationen aus verschiedenen Systemebenen wie Endpunkten, Netzwerken, Servern oder Cloud-Umgebungen integrieren können, liefert ein vollständigeres Bild und ermöglicht die Erkennung von Aktivitätsmustern, die mit herkömmlichen Mechanismen möglicherweise übersehen werden.
Extended Detection and Response (XDR)-Ansätze bieten in dieser Hinsicht wertvolle Funktionen. Durch die Kombination von fortschrittlicher Verhaltensanalyse, Überwachung der lateralen Bewegung im Netzwerk und automatisierter Reaktion auf verdächtige Aktivitäten sind Unternehmen in der Lage, Signale zu identifizieren, die mit einem Ransomware-Angriff in Verbindung stehen könnten. Dies wiederum zahlt auf das Konto einer mehrschichtigen Strategie ein, die für die Bekämpfung von Bedrohungen auf Hardware-Ebene von entscheidender Bedeutung ist.
Die potenzielle Entwicklung von Malware auf CPU-Ebene fügt Ransomware-Angriffen eine neue Dimension hinzu. Da sich die Cybersicherheitslandschaft ständig weiterentwickelt, ist es entscheidend, die Erkennungs-, Präventions- und Reaktionsfähigkeiten konsequent zu stärken, um den sich wandelnden Bedrohungen entgegenwirken zu können.
Zusätzliche Informationen zu möglichen Gegenmaßnahmen liefern die folgenden Auszüge aus dem Beitrag des Forschers Christiaan Beek. Seine Analyse ist besonders treffend:
„Wir sollten 2025 nicht mehr über Ransomware sprechen müssen – und dafür sind alle verantwortlich: die Anbieter, die Endnutzer und die Cyberversicherer“, sagt Beek.
„Seit Jahren kämpfen wir denselben Kampf. Während wir immer noch viele technologische Entwicklungen beobachten, reden alle von Agenten, KI und ML. Aber wenn wir ganz ehrlich sind, haben wir unser Fundament nach wie vor nicht verbessert.“
„Wie Angreifer eindringen, ‚ist keine Raketenwissenschaft‘. Ich beobachte bei vielen Ransomware-Angriffen, dass es um eine hochriskante Schwachstelle oder ein schwaches Passwort geht, dass wir keine Multifaktor-Authentifizierung im Einsatz haben oder diese falsch anwenden. Das ist frustrierend.“
Was sollten Unternehmen also tun? Beek fordert alle auf, sich auf die Grundlagen der Cybersicherheit zu konzentrieren. „Als Branche investieren wir viel Zeit und Geld in Innovationen. Gleichzeitig verbessert sich unsere Cyberhygiene jedoch nicht.“
