Výskumníci objavujú zacielenie UEFI Bootkit Targeting Windows Počítače od roku 2012

Výskumníci v oblasti kybernetickej bezpečnosti v utorok odhalili podrobnosti o predtým nezdokumentovanom bootkite UEFI (Unified Extensible Firmware Interface), ktorý používali aktéri hrozieb na backdoor. Windows systémov už v roku 2012 úpravou legit Windows Binárny Boot Manager na dosiahnutie perzistencie, opäť demonštrujúci, ako technológia určená na zabezpečenie prostredia pred načítaním operačného systému sa čoraz viac stáva „lákavým cieľom“.

Slovenská firma zaoberajúca sa kybernetickou bezpečnosťou ESET nazvala nový malvér kódovým názvom „ESPecter“ pre jeho schopnosť zotrvať na systémovej časti EFI (ESP), okrem toho, že obchádza Microsoft Windows Driver Signature Enforcement na načítanie vlastného nepodpísaného ovládača, ktorý možno použiť na uľahčenie špionážnych činností, ako je krádež dokumentov, keylogging a monitorovanie obrazovky pravidelným snímaním snímok obrazovky. Cesta prieniku malvéru zostáva zatiaľ neznáma.

„ESPecter ukazuje, že aktéri hrozieb sa nespoliehajú iba na implantáty firmvéru UEFI, pokiaľ ide o pretrvávanie pred operačným systémom, a napriek existujúcim bezpečnostným mechanizmom, ako je UEFI Secure Boot, investujú svoj čas do vytvárania malvéru, ktorý by sa dal ľahko zablokovať takýmito mechanizmami, ak aktivované a správne nakonfigurované,“ uviedli výskumníci spoločnosti ESET Martin Smolár a Anton Cherepanov v technickom zázname zverejnenom v utorok.

Korene ESPecter možno vysledovať minimálne do roku 2012, pričom vznikol ako bootkit pre systémy so staršími BIOSmi, pričom jeho autori neustále pridávajú podporu pre nové Windows Verzie operačného systému, pričom sa v moduloch škodlivého softvéru takmer nerobia žiadne zmeny. Najväčšia zmena prišla v roku 2020, keď „tí, ktorí stoja za ESPecter, sa zjavne rozhodli presunúť svoj malvér zo starších systémov BIOS do moderných systémov UEFI“.

Tento vývoj predstavuje štvrtý prípad, kedy boli doteraz objavené skutočné prípady malvéru UEFI, po LoJax, MosaicRegressor a najnovšie FinFisher, z ktorých posledný bol nájdený využívajúci rovnakú metódu kompromisu, aby pretrval na ESP vo forme zaplátaný Windows Boot Manager.

„Zaplátaním Windows Boot Manager, útočníci dosahujú spustenie v skorých štádiách procesu zavádzania systému, ešte pred úplným načítaním operačného systému,” uviedli vedci. “To umožňuje ESPecter obísť Windows Driver Signature Enforcement (DSE) na spustenie vlastného nepodpísaného ovládača pri štarte systému.”

Na systémoch, ktoré podporujú Legacy BIOS Boot Mode, však ESPecter získava stálosť zmenou kódu hlavného zavádzacieho záznamu (MBR) umiestneného v prvom fyzickom sektore diskovej jednotky, aby narušil načítanie boot manažéra a načítal škodlivý ovládač jadra, ktorý je navrhnutý tak, aby načítal ďalšie užitočné zaťaženia používateľského režimu a nastavil keylogger pred vymazaním vlastných stôp zo stroja.

Bez ohľadu na použitý variant MBR alebo UEFI vedie nasadenie ovládača k vloženiu komponentov používateľského režimu v ďalšej fáze do špecifických systémových procesov na nadviazanie komunikácie so vzdialeným serverom, čím umožní útočníkovi ovládnuť napadnutý stroj a prevziať kontrolu nad ním. kontrolu, nehovoriac o sťahovaní a spúšťaní väčšieho množstva malvéru alebo príkazov stiahnutých zo servera.

ESET nepripísal bootkit konkrétnemu národnému štátu alebo hackerskej skupine, ale použitie čínskych ladiacich správ v užívateľskom režime klienta zvýšilo možnosť, že by mohlo ísť o prácu neznámeho čínsky hovoriaceho hroziaceho aktéra.

„Aj keď Secure Boot stojí v ceste spusteniu nedôveryhodných binárnych súborov UEFI z ESP, za posledných niekoľko rokov sme boli svedkami rôznych zraniteľností firmvéru UEFI, ktoré ovplyvňujú tisíce zariadení, ktoré umožňujú deaktivovať alebo obísť Secure Boot,“ poznamenali vedci. „Ukazuje to, že zabezpečenie firmvéru UEFI je náročná úloha a že spôsob, akým rôzni predajcovia uplatňujú zásady zabezpečenia a využívajú služby UEFI, nie je vždy ideálny.“