Новый буткит UEFI, используемый для бэкдора устройств Windows с 2012 года

29
Результаты Rogers за третий квартал могут быть омрачены размолвками из совета директоров

Недавно обнаруженный и ранее недокументированный буткит UEFI (Unified Extensible Firmware Interface) использовался злоумышленниками для проникновения в системы Windows путем взлома диспетчера загрузки Windows с 2012 года.

Буткиты — это вредоносный код, внедренный в микропрограммное обеспечение (иногда нацеленный на UEFI), невидимый для программного обеспечения безопасности, работающего в операционной системе, поскольку вредоносное ПО предназначено для загрузки раньше всего на начальном этапе последовательности загрузки.

Они обеспечивают злоумышленникам постоянство и контроль над процессом загрузки операционной системы, позволяя саботировать защиту ОС в обход механизма безопасной загрузки, если режим безопасности загрузки системы не настроен должным образом. Включение режима «полной загрузки» или «полной загрузки» заблокирует такое вредоносное ПО, как объясняет АНБ).

Сохранение системного раздела EFI

Буткит, получивший название ESPecter обнаружившими его исследователями ESET, обеспечивает постоянство в системном разделе EFI (ESP) скомпрометированных устройств путем загрузки собственного неподписанного драйвера для обхода принудительного использования подписи драйверов Windows.

«ESPecter встречалось на скомпрометированных машине вместе с клиентским компонентом пользовательского режима с кейлоггеры и документировать кражи функциональности, поэтому мы считаем , что ESPecter в основном используется для шпионажа,» ESET исследователи безопасности Мартин Смоляр и Антон Черепанов сказал .

«Интересно, что мы проследили корни этой угрозы как минимум до 2012 года, ранее работая как буткит для систем с устаревшими BIOS».

Вредоносный драйвер, развернутый на скомпрометированных компьютерах Windows, используется для загрузки двух полезных данных (WinSys.dll и Client.dll), которые также могут загружать и запускать дополнительные вредоносные программы.

WinSys.dll — это агент обновления, компонент, используемый для связи с сервером управления и контроля (C2) для дальнейших команд или других вредоносных полезных данных.

Как выяснили исследователи, WinSys.dll может извлекать системную информацию, запускать другие вредоносные программы, загруженные с сервера C2, перезагружать компьютер с помощью ExitProcess (только в Windows Vista), получать новую информацию о конфигурации и сохранять ее в реестре.

Client.dll, вторая полезная нагрузка, действует как бэкдор с возможностями автоматической кражи данных, включая кейлоггинг, кражу документов и мониторинг экрана с помощью снимков экрана.

ESET также обнаружила версии ESPecter, нацеленные на устаревшие режимы загрузки и обеспечивающие постоянство путем изменения кода MBR, находящегося в первом физическом секторе системного диска.

Безопасная загрузка на самом деле не помогает 

Для исправления диспетчера загрузки Windows (bootmgfw.efi) требуется отключить безопасную загрузку (которая помогает проверить, загружается ли компьютер с использованием доверенной прошивки).

Как обнаружили исследователи, злоумышленники развернули буткит в «дикой природе», что означает, что они нашли способ отключить безопасную загрузку на целевых устройствах.

Хотя нет никаких намеков на то, как операторы ESPecter достигли этого, есть несколько возможных сценариев:

  • Злоумышленник имеет физический доступ к устройству (исторически известный как атака «злой горничной») и вручную отключает безопасную загрузку в меню настройки BIOS (обычно меню конфигурации прошивки по-прежнему обозначается как «настройка BIOS» меню «даже в системах UEFI).
  • Безопасная загрузка уже была отключена на скомпрометированной машине (например, пользователь может выполнить двойную загрузку Windows и других ОС, не поддерживающих безопасную загрузку).
  • Использование неизвестной уязвимости прошивки UEFI, позволяющей отключить безопасную загрузку.
  • Использование известной уязвимости встроенного ПО UEFI (например,  CVE-2014-2961CVE-2014-8274 или  CVE-2015-0949) в случае устаревшей версии встроенного ПО или продукта, который больше не поддерживается.

Публично задокументированные атаки с использованием буткитов в дикой природе крайне редки — буткит FinSpy, используемый для загрузки шпионского ПО, Lojax, развернутый поддерживаемой Россией хакерской группой APT28, MosaicRegressor, используемый хакерами, говорящими по-китайски, и модуль TrickBoot, используемый бандой TrickBot.

«ESPecter показывает, что злоумышленники полагаются не только на имплантаты встроенного ПО UEFI, когда речь идет о сохранении предустановленной ОС, и, несмотря на существующие механизмы безопасности, такие как UEFI Secure Boot, они вкладывают свое время в создание вредоносных программ, которые можно было бы легко заблокировать с помощью таких механизмов, если включен и настроен правильно «.

Чтобы защитить свои системы от атак с использованием буткитов, таких как ESPecter, вам рекомендуется убедиться, что:

  • Вы всегда используете последнюю версию прошивки.
  • Ваша система правильно настроена, и безопасная загрузка включена.
  • Вы применяете надлежащее управление привилегированными учетными записями, чтобы предотвратить доступ злоумышленников к привилегированным учетным записям, необходимым для установки буткита.

Дополнительные технические подробности о бутките ESPecter и индикаторах взлома можно найти в отчете ESET

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here