Zero
I ricercatori hanno scoperto quello che sembra essere il primo caso di un UEFI rootkit in natura, cambiando il concetto di attivo UEFI exploit da una conferenza di argomento alla realtà.
UEFI rootkit è stato trovato in bundle insieme con un set di strumenti in grado di patch di una vittima del firmware di sistema per installare il malware in questo livello profondo, ESET ricercatori ha detto giovedi.
In almeno un caso registrato, la minaccia attori dietro il malware in grado di scrivere un dannoso UEFI modulo all’interno di un sistema di memoria flash SPI — leader per il drop e l’esecuzione di codice dannoso sul disco durante il processo di avvio.
Non solo tali metodi di eludere il sistema operativo reinstallare, ma anche hard disk di ricambio. L’unico modo per rimuovere il malware — supponendo che le vittime sanno di essere stato compromesso, in primo luogo-è quello di flashare il firmware, un processo che spesso condotta per gli utenti tipici.
Secondo ESET, l’installazione di rootkit osservato è il primo caso di un UEFI rootkit registrate come attive nel selvaggio.
Il rootkit è utilizzato da advanced persistent threat (APT) gruppo Fantasia Orso, noto anche come Sednit, APT28, STRONZIO, e Sofacy.
L’APT è in attività almeno dal 2004. Presumibilmente diretto da parte del governo russo, il gruppo di hacker è stato collegato ad attacchi contro gli stati UNITI Comitato Nazionale Democratico (DNC), prima delle elezioni, la World Anti-Doping Agency (WADA), l’Associazione delle Federazioni di Atletica (IAAF), il governo tedesco, e l’ucraino militari, tra gli altri.
Continua a leggere: Microsoft: Abbiamo appena incasinato russo piani per attaccare NOI 2018 elezioni di medio termine
Nella ricerca presentata giovedì al 2018 Microsoft BlueHat conferenza, ESET i ricercatori hanno detto che l’APT, che ha usato una varietà di sofisticato malware e intrusioni strumenti in passato, anche utilizzando il LoJax malware target di organizzazioni di governo in Europa.
In Maggio, la ricerca condotta e pubblicata da Arbor Networks ha suggerito l’APT è stato utilizzando Assoluto Software LoJack, un legittimo il recupero laptop soluzione, per nefasti significa.
Campioni di LoJack software sono stati manomessi per garantire hardcoded impostazioni di configurazione, piccolo agente rpcnetp.exe, di comunicare con un comando e controllo (C2) server controllato da Fancy Orso, piuttosto che il legittimo Absolute Software server.
Vedi anche: regno UNITO problemi di primo GDPR avviso di connessione a Facebook i dati scandalo
Quando viene utilizzato per scopi legittimi, il software richiama a un server in modo da allertare il proprietario del dispositivo per la perdita o il furto. Il proprietario è quindi in grado di bloccare il sistema e cancellare i file in remoto.
“LoJack rende un ottimo doppio-agente a causa di apparire come software legittimo, mentre nativamente consentire l’esecuzione di codice remoto,” Arbor ha detto.
La versione modificata è stata nominata LoJax, separato da Absolute Software legittimo soluzione, ma è ancora implementato nello stesso modo-come UEFI/BIOS modulo, in modo da resistere sistema operativo salviette o la sostituzione del disco rigido.
Estendendo questo lavoro, ESET ha detto che il maligno UEFI modulo viene fornito nel kit di exploit che sono in grado di accedere e patch UEFI/BIOS le impostazioni.
Questi strumenti utilizzano un driver del kernel, RwDrv.sys che è in bundle con il RWEverything utilità di leggere le informazioni su un PC, le impostazioni, come il PCI di memoria o Rom.
CNET: Questo malware e rubare il vostro Twitter e Facebook account
“Questo kernel driver appartiene al software legittimo, è firmato con un valido certificato di firma del codice,” i ricercatori fanno notare.
A fianco del malware, altri tre strumenti sono stati trovati nella Fantasia dell’Orso aggiornata kit. È uno strumento che trasferisce le informazioni relative alle impostazioni del PC in un file di testo; un altro scopo è quello di salvare un’immagine del firmware di sistema, leggendo il contenuto della memoria flash SPI dove UEFI/BIOS è situato; e l’ultimo strumento aggiunge il dannoso UEFI modulo per l’immagine del firmware per scriverlo nella memoria flash SPI.
Secondo i ricercatori, questo “effettivamente installa UEFI rootkit nel sistema.”
Questo particolare strumento potrà patch per il firmware esistente, per consentire l’installazione di rootkit direttamente se la piattaforma consente le operazioni di scrittura della memoria flash SPI, o se le protezioni sono a posto, si tenta di utilizzare una vulnerabilità nota per completare il suo compito.
TechRepublic: Evrial Trojan in grado di rubare ciò che è salvato sul vostro Clipboard di Windows, tra cui Bitcoins
Tuttavia, vale la pena notare che il sfruttate vulnerabilità interessa solo i vecchi chipset che non contengono il Platform Controller Hub, che è stato introdotto con Intel Serie 5 chipset nel 2008.
L’uso di un UEFI rootkit è sufficiente, di per sé, per le imprese a prendere atto. Tuttavia, come il rootkit non è debitamente firmato, destinazione sistemi Windows Secure Boot funzione abilitata solo permesso firmato firmware da caricare, e quindi, sfruttare è evitato.
“Noi consigliamo vivamente di attivarlo,” ESET dice. “Questa è la base di difesa contro gli attacchi rivolti firmware UEFI e può essere attivata al momento dell’avvio attraverso il sistema UEFI impostazioni. Sistema di aggiornamento del firmware non dovrebbe essere qualcosa di banale per un maligno attore di raggiungere”.
Un certo numero di LoJax piccolo agente di C2 server sono stati precedentemente collegati a SedUploader, una backdoor che è spesso utilizzato da Fantasia Orso operatori nelle prime fasi di compromesso. Il LoJax campagna di utilizzare XAgent, l’APT “di punta”, backdoor, e Xtunnel, un proxy di rete strumento, rafforzare la convinzione che la nuova campagna è attribuibile alla Fantasia Orso gruppo di hacker.
I ricercatori dicono che l’uso di un UEFI rootkit ha aumentato la gravità del gruppo di hacker ed è in “una lega dei relativi propri.”
“Il LoJax campagna mostra che obiettivi di alto valore sono i principali candidati per la distribuzione di rari, se non unici, di minacce e di tali obiettivi devono sempre essere sull’allerta per i segni di compromesso,” ESET aggiunto.
Precedente e relativa copertura
Le pmi a far fronte alle spese di fino a $2,5 milioni per la violazione dei dati Android spyware in sviluppo saccheggia i dati di WhatsApp, conversazioni private Vulnerabili ai componenti open source adozione aumenta in impresa
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0