Nul
Forskere har afsløret, hvad der ser ud til at være det første tilfælde af en UEFI rod i naturen, skiftende begrebet aktiv UEFI udnytte fra en konference emne til virkeligheden.
Det UEFI-rootkit blev fundet sammen med en værktøjskasse, der er i stand til at lappe en offerets system firmware for at installere malware på dette dybe niveau, ESET forskere siger, at på torsdag.
I mindst én registreret tilfælde, truslen aktører bag malware var i stand til at skrive en ondsindet UEFI modul i et system, der er SPI flashhukommelse-fører til fald og udførelse af skadelig kode på disken under boot-processen.
Ikke kun gøre disse metoder omgå operativsystem geninstallere, men også harddisken udskiftning. Den eneste måde at fjerne malware — forudsat, at ofrene ved, at de er blevet kompromitteret i første omgang, er at flashe firmwaren, en proces, der ikke ofte udført af typiske brugere.
I henhold til ESET, rootkit-installation, der er observeret, er det første tilfælde af en UEFI rootkit er registreret som aktive i naturen.
Rootkit er, der anvendes af advanced persistent threat (APT) gruppe Lyst til at Bære, også kendt som Sednit, APT28, STRONTIUM, og Sofacy.
APT har været i drift siden i hvert fald 2004. Angiveligt er instrueret af den russiske regering, hacking gruppen har været tilsluttet til angreb mod den AMERIKANSKE Demokratiske Nationale Komité (DNC) forud for det AMERIKANSKE valg, World Anti-Doping Agency (WADA), Association of Athletics Federations (IAAF), den tyske regering, og den ukrainske militær, blandt andre.
Læs om: Microsoft: Vi har lige rodet op russiske planer om at angribe OS 2018 midtvejsvalget
I forskning præsenteret på torsdag i 2018 Microsoft BlueHat konference, ESET forskere, der sagde, at APT, som har brugt en bred vifte af avancerede malware og intrusion værktøjer i fortiden, er også hjælp LoJax malware til at målrette offentlige organisationer i Europa.
I Maj, forskning fra Arbor Networks foreslog APT var udnytte Absolute Software er LoJack, en legitim bærbar opsving løsning, for forbryderiske midler.
Prøver af LoJack software blev manipuleret med til at sikre, hardcodede konfigurationsindstillinger, lille agent rpcnetp.exe ville kommunikere med en kommando-og-kontrol (C2) – server, der kontrolleres af Fancy Bære, snarere end den legitim Absolute Software server.
Se også: STORBRITANNIEN spørgsmål første nogensinde GDPR varsel i forbindelse til Facebook data skandale
Når det bruges til lovlige formål, den software, der ringer tilbage til en server for at advare en enhed, der er ejer af tab eller tyveri. Ejeren er derefter i stand til at låse systemet og slette filer på afstand.
“LoJack gør en fremragende dobbelt-agent på grund optræder som et fupnummer software, mens indbygget tillade fjernkørsel af programkode,” Arbor sagde.
Den ændrede version, der er blevet opkaldt LoJax for at adskille det fra Absolute Software legitime løsning, men er stadig gennemføres på samme måde-som en UEFI/BIOS-modul, for at modstå operativsystem klude eller udskifte harddisken.
Udvide på dette arbejde, ESET sagde ondsindede UEFI-modulet er nu ved at blive samlet i exploit kits, der er i stand til at få adgang til og programrettelse UEFI/BIOS-indstillinger.
Disse værktøjer bruge en kerne, der driver, RwDrv.sys, som er bundtet med RWEverything utility at læse oplysninger på en PC ‘ s indstillinger, såsom PCI hukommelse eller Rom.
CNET: Denne malware vil stjæle din Twitter-og Facebook-konti
“Som denne kerne driver hører til lovlig software, der er signeret med et gyldigt code signing-certifikat”, bemærker forskerne.
Sammen med den malware, tre andre værktøjer findes i Fancy Bjørn opdateret kit. Den ene er et værktøj, der dumper oplysninger om PC-indstillinger i en tekst fil med et andet formål er at gemme et billede af systemets firmware ved at læse indholdet af SPI-flash-hukommelse, hvor UEFI/BIOS, og det sidste værktøj tilføjer de ondsindede UEFI-modul til firmware billede for at skrive det tilbage til SPI flash-hukommelse.
Ifølge forskerne, er denne “effektivt installerer det UEFI-rootkit på systemet.”
Netop dette værktøj, vil enten lappe den eksisterende firmware til at tillade rootkit installation direkte, hvis den platform, der tillader skrivning til SPI flashhukommelse, eller hvis beskyttelse er på plads, vil forsøg på at bruge en kendt sårbarhed til at fuldføre sin opgave.
TechRepublic: Evrial Trojan kan stjæle, hvad der er gemt på din Windows Udklipsholder, herunder Bitcoins
Det er dog værd at bemærke, at udnyttet sårbarhed påvirker kun ældre chipsæt, og som ikke indeholder Platform Controller Hub, som blev indført med Intel 5-Serie chipsæt tilbage i 2008.
Brug af UEFI rootkit er nok i sig selv for virksomheder til at tage varsel. Men, som rootkit er ikke korrekt underskrevet, target systemer, der har Windows Secure Boot-funktion er aktiveret vil kun tillade, underskrevet firmware til at indlæse, og så udnytte undgås.
“Vi anbefaler kraftigt, at du aktiverer det,” ESET siger. “Dette er den base forsvar mod angreb rettet mod UEFI firmware og kan blive aktiveret ved opstart gennem dit system UEFI settings. Opdatere systemets firmware, skal ikke være noget trivielt for en ondsindet skuespiller til at opnå.”
En række af de LoJax lille agent C2-servere har tidligere været knyttet til SedUploader, en bagdør, der ofte bruges af Fancy Bære operatører i de første faser af et kompromis. Den LoJax kampagne ‘s brug af XAgent, APT’ s “flagskib” bagdør, og Xtunnel, et netværk proxy-værktøjet, yderligere cementere den opfattelse, at den nye kampagne, der kan henføres til den Smarte Bære hacking gruppen.
Forskerne siger, at brugen af en UEFI rootkit har øget sværhedsgrad af hacking gruppen og er i en liga for sig selv.”
“LoJax kampagne viser, at høj-værdi mål er prime kandidater til udbredelsen af sjældne, selv unikke trusler og sådanne mål bør altid være på udkig efter tegn på kompromis,” ESET tilføjet.
Tidligere og relaterede dækning
Små og mellemstore virksomheder står over omkostninger på op til $2,5 millioner efter en bruddet Android spyware i udvikling plyndrer WhatsApp data, private samtaler Sårbare open source-komponent vedtagelse skyrockets i virksomheden
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0