Digitale bankrovers bewijzen gelijk Microsoft

Bootkit demonstreert waarom Secure Boot zo belangrijk is.

Beveiligingsbedrijf FireEye heeft malware gevonden met een functionaliteit om wijzigingen te maken in de MBR/VBR. Dat is niet uniek, maar 'Nemesis' is meer dan een bootkit.

De bankingmalware Nemesis past het bootproces van een geïnfecteerde machine aan, zodat het wordt opgestart voordat Windows zelf start. Om dit soort bootkits te voorkomen, verplichtte Microsoft in Windows 8 de UEFI-feature Secure Boot. Wij plegen het 'bootslot' te noemen, omdat enkel Windows nog gestart kan worden.




Open vs. beveiligd

Bij oudere hardware verplichtte Microsoft nog een mogelijkheid om Secure Boot uit te schakelen, maar sinds Windows 10 kunnen fabrikanten Secure Boot volledig afdwingen. Kopers van zulke hardware zitten dan vast aan Windows 10, hoewel er een heleboel Linux-distro's zijn die een Verisign/Microsoft-certificaat hebben om 'legaal' op te starten.

Maar 'open' is anders. Microsoft wil met Secure Boot de plaag van Windows-malware beter aanpakken, ook al kwamen bootkits destijds niet vaak voor. De beruchte trojan Carberp had bijvoorbeeld in 2013 ook functionaliteit om de MBR aan te passen. Anno 2015 zijn bootkits nog steeds geen alomvattend probleem, maar ze zijn wel aan een opmars bezig. Hoe zou het zijn geweest met deze variant zonder Secure Boot?

Malware-ecosysteem

Nemesis is overigens meer dan een bootkit. Volgens FireEye is de malwarefamilie een heel ecosysteem, met backdoors, tools en bestanden die allemaal meewerken aan het kapen van betalingsverkeer. De onderzoekers zeggen dat een groep criminelen al jaren dit pakket venijnige malware gebruikt om betalingsverkeer te kapen.