Изображение: Джефф Харди
Недавно обнаруженный и ранее недокументированный буткит UEFI (Unified Extensible Firmware Interface) использовался злоумышленниками для проникновения в системы Windows путем взлома диспетчера загрузки Windows с 2012 года.
Буткиты - это вредоносный код, внедренный в микропрограммное обеспечение (иногда нацеленный на UEFI), невидимый для программного обеспечения безопасности, работающего в операционной системе, поскольку вредоносное ПО предназначено для загрузки раньше всего на начальном этапе последовательности загрузки.
Они обеспечивают злоумышленникам постоянство и контроль над процессом загрузки операционной системы, позволяя саботировать защиту ОС в обход механизма безопасной загрузки, если режим безопасности загрузки системы не настроен должным образом. Включение режима «полной загрузки» или «полной загрузки» заблокирует такое вредоносное ПО, как объясняет АНБ ).
Сохранение системного раздела EFI
Буткит, получивший название ESPecter обнаружившими его исследователями ESET, обеспечивает постоянство в системном разделе EFI (ESP) скомпрометированных устройств путем загрузки собственного неподписанного драйвера для обхода принудительной подписи драйверов Windows.«ESPecter встречалось на скомпрометированных машине вместе с клиентским компонентом пользовательского режима с кейлоггеры и документировать кражи функциональности, поэтому мы считаем , что ESPecter в основном используется для шпионажа,» ESET исследователи безопасности Мартин Смоляр и Антон Черепанов сказал .
«Интересно, что мы проследили корни этой угрозы как минимум до 2012 года, когда раньше работали как буткит для систем с устаревшими BIOS».
Вредоносный драйвер, развернутый на скомпрометированных компьютерах Windows, используется для загрузки двух полезных данных (WinSys.dll и Client.dll), которые также могут загружать и запускать дополнительные вредоносные программы.
WinSys.dll - это агент обновлений, компонент, используемый для связи с сервером управления и контроля (C2) для получения дальнейших команд или других вредоносных полезных данных.
Как выяснили исследователи, WinSys.dll может извлекать системную информацию, запускать другие вредоносные программы, загруженные с сервера C2, перезагружать компьютер с помощью ExitProcess (только в Windows Vista), получать новую информацию о конфигурации и сохранять ее в реестре.
Client.dll, вторая полезная нагрузка, действует как бэкдор с возможностями автоматической кражи данных, включая кейлоггинг, кражу документов и мониторинг экрана с помощью снимков экрана.
ESET также обнаружила версии ESPecter, нацеленные на устаревшие режимы загрузки и обеспечивающие постоянство путем изменения кода MBR, находящегося в первом физическом секторе системного диска.
Нормальная загрузка Windows UEFI по сравнению с загрузкой, измененной ESPecter (ESET)
Безопасная загрузка на самом деле не помогает
Для исправления диспетчера загрузки Windows (bootmgfw.efi) требуется отключить безопасную загрузку (которая помогает проверить, загружается ли компьютер с использованием доверенной прошивки).Как обнаружили исследователи, злоумышленники развернули буткит в «дикой природе», что означает, что они нашли способ отключить безопасную загрузку на целевых устройствах.
Несмотря на то, что прямо сейчас нет намека на то, как операторы ESPecter достигли этого, есть несколько возможных сценариев:
- Злоумышленник имеет физический доступ к устройству (исторически известный как атака «злой горничной») и вручную отключает безопасную загрузку в меню настройки BIOS (обычно меню конфигурации прошивки по-прежнему обозначается и называется «настройка BIOS» меню "даже в системах UEFI).
- Безопасная загрузка уже была отключена на скомпрометированной машине (например, пользователь может выполнить двойную загрузку Windows и других ОС, не поддерживающих безопасную загрузку).
- Использование неизвестной уязвимости прошивки UEFI, позволяющей отключить безопасную загрузку.
- Использование известной уязвимости встроенного ПО UEFI (например, CVE-2014-2961 , CVE-2014-8274 или CVE-2015-0949 ) в случае устаревшей версии встроенного ПО или продукта, который больше не поддерживается.
"ESPecter показывает, что злоумышленники полагаются не только на имплантаты встроенного ПО UEFI, когда речь идет о сохранении предустановленной ОС, и, несмотря на существующие механизмы безопасности, такие как UEFI Secure Boot, они вкладывают свое время в создание вредоносного ПО, которое было бы легко заблокировано такими механизмами, если включен и настроен правильно ".
Чтобы защитить свои системы от атак с использованием буткитов, таких как ESPecter, вам рекомендуется убедиться, что:
- Вы всегда используете последнюю версию прошивки.
- Ваша система правильно настроена, и безопасная загрузка включена.
- Вы применяете надлежащее управление привилегированными учетными записями, чтобы предотвратить доступ злоумышленников к привилегированным учетным записям, необходимым для установки буткита.
Перевод - Google
Bleeping Computer
