Noll
Forskare har upptäckt vad som verkar vara det första fallet av en UEFI rootkit i naturen, att ändra begreppet aktiv UEFI utnyttja från en konferens ämnet till en verklighet.
UEFI rootkit hittades levereras tillsammans med en uppsättning verktyg för att stimulera ett offer system firmware för att installera skadlig kod på detta djup nivå, ESET forskare sade på torsdagen.
I minst ett fall registreras, hot aktörer bakom skadlig kod kunde skriva en skadlig UEFI-modulen till ett system SPI-flash-minne-leder till nedgång och körning av skadlig kod på disk under uppstartsprocessen.
Inte bara sådana metoder kringgå operativsystem installera om, men också hårddisk ersättning. Det enda sättet att ta bort dessa skadliga program — förutsatt offer vet att de har varit nedsatt i första hand — är att flash firmware, en process som inte ofta utförd av typiska användare.
Enligt ESET, rootkit-installation observerade är det första fallet av en UEFI rootkit registreras som aktiva i det vilda.
Rootkit används av avancerade ihållande hot (APT) gruppen Fancy Bära, även känd som Sednit, APT28, STRONTIUM, och Sofacy.
APT har varit i drift sedan åtminstone 2004. Påstås regisserad av den ryska regeringen, med hacka gruppen har varit ansluten till angrepp mot USA: s Demokratiska Nationella Kommittén (DNC) före det AMERIKANSKA valet, World Anti-Doping Agency (WADA), Association of Athletics Federations (IAAF), den tyska regeringen och den ukrainska militärer, bland andra.
Läs om: Microsoft: Vi har bara trasslat till ryska planer på att attackera OSS 2018 kongressvalet
I forskning som presenteras på torsdag klockan 2018 Microsoft BlueHat konferens, ESET forskarna sade APT, som har använt en mängd sofistikerade skadlig kod och intrång verktyg i det förflutna, är också med LoJax skadlig kod till mål-statliga organisationer i Europa.
I Maj, forskning genomförts och publicerats av Arbor Networks föreslog APT var att använda Absolute Software är LoJack, en legitim laptop återvinning lösning, för illvilliga sätt.
Prover av LoJack programvara som manipulerats för att säkerställa hårdkodad konfigurationsinställningar, liten agent rpcnetp.exe skulle kommunicera med en kommando-och-kontroll (C2) server som kontrolleras av Fancy Björn, snarare än de legitima Absolut Programvara för server.
Se även: STORBRITANNIEN frågor först-någonsin GDPR meddelande i anslutning till Facebook data skandal
När de används för ett legitimt ändamål, programvaran kräver tillbaka till en server för att uppmärksamma en enhet ägare till förlust eller stöld. Ägaren kan då låsa systemet och ta bort filer på distans.
“LoJack gör ett utmärkt dubbel-agent på grund av att synas som en bluff program även inbyggt möjliggör fjärrkörning av kod,” Berså sagt.
Den modifierade versionen har fått namnet LoJax att skilja det från Absolute Software är legitim lösning men är fortfarande tillämpas på samma sätt-som en UEFI/BIOS-modul, för att motstå operativsystem våtservetter eller hårddisk ersättare.
Att expandera på detta arbete, ESET sade skadliga UEFI-modulen är nu buntas i exploit kit som har tillgång till och patch UEFI/BIOS-inställningar.
Dessa verktyg använder en kärna förare, RwDrv.sys som är paketerade med RWEverything utility att läsa information på en dators inställningar, till exempel PCI-minne eller Rom.
CNET: Detta malware kommer att stjäla ditt Twitter-och Facebook-konton
“Eftersom detta kernel driver tillhör seriösa program, det är signerad med en giltig kod-signeringscertifikat,” forskarna notera.
Vid sidan av skadlig kod, tre andra verktyg hittades i Fancy Bear ‘ s utvilad kit. En är ett verktyg som tippar information om inställningar för PC till en textfil, ett annat syfte är att spara en bild av systemets inbyggda programvara genom att läsa innehållet av SPI flash-minne där UEFI/BIOS finns, och det senaste verktyget lägger skadlig UEFI-modul för att avbildningen för att skriva tillbaka till SPI-flashminnet.
Enligt forskarna är detta “på ett effektivt sätt installerar UEFI rootkit på systemet.”
Detta verktyg kommer antingen patch den befintliga programvaran för att möjliggöra rootkit installationen direkt om plattformen tillåter skriva verksamheten till SPI-flash-minne, eller om skydden är på plats, kommer att försöka använda en känd sårbarhet för att slutföra sin uppgift.
TechRepublic: Evrial Trojanen kan stjäla vad som är sparade på din Windows Urklipp, med Bitcoins
Det är dock värt att notera att utnyttjas sårbarheten drabbar endast äldre kretsar som inte innehåller Platform Controller Hub, som infördes med Intel-Serien 5-kretsar tillbaka i 2008.
Användning av en UEFI rootkit är tillräckligt i sig själv för företag att ta notis. Men, som rootkit är inte korrekt inloggad, target-system som har Windows Secure Boot-funktionen är aktiverad kommer endast att tillåta undertecknad firmware att ladda, och så, utnyttja undvikas.
“Vi rekommenderar starkt att du aktiverar det,” ESET säger. “Detta är den bas försvar mot attacker som riktas mot UEFI firmware och kan aktiveras vid uppstart genom systemets UEFI settings. Uppdatering av firmware för systemet inte ska vara något trivialt för en skadlig aktör för att uppnå.”
Ett antal av de LoJax liten agent C2-servrar har tidigare varit kopplade till SedUploader, en bakdörr som används ofta av Fancy Bära aktörer i de första stadierna av kompromiss. Den LoJax kampanj för användning av XAgent, APT: s “flaggskepp” bakdörr, och Xtunnel, en proxyserver för nätverket verktyg, ytterligare befästa tron att den nya kampanjen är hänförlig till de Tjusiga att Bära hacka gruppen.
Forskarna säger att användningen av en UEFI rootkit har ökat svårighetsgraden av dataintrång gruppen och är i en klass för sig.”
“LoJax kampanj visar att hög-värde mål är främsta kandidaterna för utbyggnaden av ovanligt, även unika hot och sådana mål bör alltid vara på jakt efter tecken på kompromiss” som ESET läggas till.
Tidigare och relaterade täckning
Små och medelstora företag står inför kostar upp till $2,5 miljoner efter ett dataintrång Android spionprogram i utveckling plundrar WhatsApp data, privata konversationer Utsatta öppen källkod komponent antagande skjuter i höjden i företaget
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0