UEFI руткит – от хипотетичната към реалната заплаха
UEFI руткит - Светият Граал на хакерите. От много време насам изследователи по сигурността говорят за хипотетичната опасност за потребителите от този тип кибер-заплаха. На няколко пъти концепцията за съществуването им и ефекта им са демонстрирани по време на конференции по IT сигурност. На лице е и убеждението, че правителствени агенции разполагат с UEFI руткит. Но до август 2018 г. никой не бе засичал тази заплаха в масирана атака, насочена срещу реални потребители. Тогава ESET хвана в крачка известната хакерска групировка Sednit APT с техния UEFI руткит, който нарекохме LoJax.
Може да прочетете всичко за кампанията на Sednit APT в техническия анализ „LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group”. Повече информация за всички аспекти на кибер-сигурността пък ще откриете в нашия блог.
Рисковете за сигурността – фърмуеър, UEFI, руктит
Веднага щом включите компютъра си на него се активира специален компютърен код, в който е базиран същинския контрол върху операционната система и машината. Това е т. нар. фърмуеър. Неговото поведение е определяно от система от правила известна като стандарт. Стандартът, използван в модерните компютри е UEFI или Унифициран разширяем интерфейс за фърмуеър (Unified Extensible Firmware Interface) – наследникът на легендарния фърмуеър BIOS.
Научете повече
UEFI руткит е руткит, който се крие във фърмуеъра. Има две причини това да е крайно опасно. Първо, всеки UEFI руткит е силно устойчив на изчистване от системата. Той може да оцелее след рестартиране на компютъра, реинсталация на операционната система и дори смяна на физическия харддиск. И второ, всеки UEFI руткит е изключително труден за откриване, тъй като обикновено фърмуеърът не е изследван за кодов интегритет (или цялост).
Изключение правят решенията за сигурност на ESET, съдържащи допълнително ниво на защита под формата на UEFI скенер, който позволява изпълнението именно на такъв щателен преглед на фърмуеър кода.
Злонамереният UEFI фърмуеър е кошмар за всеки, който се занимава с IT сигурност. Той е унищожителен и труден за засичане
Жан-Ян Бутин, старши анализатор на заплахи в ESET
Как ESET защитава от инфектиране на UEFI фърмуеър
ESET е единственият голям производител на решения за интернет сигурност, който добавя специално ниво на защита в лицето на ESET UEFI Scanner, специално създадено за засичането на злонамерени компоненти във фърмуеъра.
ESET UEFI Scanner е инструмент, който отключва фърмуеъра за сканиране. Впоследствие кодът на фърмуеъра е сканиран от технологиите за засичане на злонамерени кодове. Клиентите на ESET могат редовно да сканират фърмуеъра си или да го правят само по заявка. Повечето засечени аномалии са маркирани като Потенциално Злонамерени Приложения (Potentially Unsafe Applications) – код с широко обхватен контрол върху системата, с който може да бъде злоупотребено ако е инсталиран без знанието на потребителя или администратора. Разбира се, той би могъл да бъде и напълно легитимен ако присъствието му е известно на потребителя.
Научете повече
Още след откритието, че осъществяването на UEFI руткит атака е възможно, ESET екипира потребителите си с ESET UEFI Scanner. Така те са в отлична позиция да се защитят като засичат зловредните модификации във фърмуеъра си.
Какво обаче може да се направи ако атаката вече се е случила? Решението е далече от средностатистическия потребител. По принцип помага ако рефлашнете чипа с нов фърмуеър. Ако това не е възможно тогава единственото друго решение е подмяна на дънната платка на компютъра.
Често задавани въпроси
ESET е единственият производител на решения за сигурност на работни станции, който защитава от кибер-атаки с UEFI руткит. Вярно ли е това?
Вярно ли е, че ESET е единственият производител на решения за сигурност на работни станции, чийто потребители могат да се възползват от сканиране на UEFI фърмуеъра за злонамерени компоненти? Ако това е така, каква е причината конкурентите на ESET да нямат такава технология?
Сред ТОП 20 на производителите за решения на сигурност с най-висок приход, ESET е единственият, който осигурява на потребителите си технология за UEFI сканиране, включена в решенията за защита на крайни станции. Някои от другите производители имат технологии с “UEFI”, използвано в имената им, но тяхната цел се различава от функцията, което един автентичен фърмуеър скенер трябва да изпълнява.
Каква е причината ESET да е изключението? Нашият отговорен подход към защитата на потребителите ни. Да, атакитe срещу UEFI фърмуеъра са спорадични и до сега бяха ограничени само до локална промяна в кода на таргетирания компютър. Днес обаче, ако такава атака е успешна, тя би довела до пълен контрол върху машината с почти пълна устойчивост, т.е. премахването й ще бъде изключително трудно. Заради това ESET реши да инвестира ресурси във възможности за защита на клиентите от атаки по UEFI фърмуеъра.
Наскоро откритият LoJax, първият UEFI руткит използван в насочена срещу потребителите хакерска атака, показа, че тази заплаха може да стане регулярен елемент от модерните масирани компютърни атаки.
За късмет, потребителите ни са в отлична позиция да засекат такива атаки и да се защитят от тях, благодарение на ESET UEFI Scanner.
Защо е важно компютърния фърмуеър да бъде сканиран?
Накратко, сканирането на фърмуеъра е единственият начин в него да бъдат засечени промени. От гледна точка на сигурността модифицираният фърмеуър е изключително опасен, тъй като е трудно да бъде засечен. Той е способен да оцелее след мерки за сигурност като преинсталация на операционната система и дори смяна на хард диска.
Фърмуеърът може да бъде компрометиран още при производство на компютъра, по време на доставката до потребителя или чрез рефлашването му, ако атакуващият получи физически достъп до устройството. Както обаче ESET показа, това може да се случи и при насочена злонамерена атака.
Как работи ESET UEFI Scanner?
Обикновено фърмуеърът не е достъпен за сканиране от решенията за сигурност, заради което те са създавани само за сканирането на харддискове и памети. Нужен е специален инструмент – скенер – за да се разреши достъп до фърмуеъра.
UEFI Scanner е модул в решенията за сигурност на ESET, чиято единствена функция е да разчита съдържанието на UEFI фърмуеъра и да го прави достъпно за инспекция. Т.е., ESET UEFI Scanner прави възможно стандартните сканиращи технологии на ESET да проверят и защитят pre-boot средата.
Накратко, решенията за сигурност на ESET, подпомогнати от сканиращата технология за UEFI, са способни да засекат подозрителни или злонамерени компоненти във фърмуеъра и да ги докладват на потребителя.
Как да поправя UEFI фърмуеъра си?
Потребителят е уведомен веднага щом във фърмуеъра е засечен подозрителен или злонамерен компонент. Така той може веднага да реагира на ситуацията.
Единият вариант е в засеченият компонент да няма нищо лошо. Например той може да е част от решение против кражба, създадено с максимална устойчивост в системата.
Другият вариант обаче е да няма легитимна причина за открития нестандартен компонент във фърмуеъра. Тогава веднага трябва да бъдат взети мерки.
За съжаление няма лесен начин за изчистването на системата от такава заплаха. За да бъде премахнат злонамерения компонент, най-често е нужно фърмуеърът да бъде рефлашнат. Ако рефлашването на UEFI не е възможно, то единствената алтернатива е да бъде подменена дънната платка на инфектираната система.
Как изследователите на ESET разкриха кампанията, използваща UEFI руткит?
Накратко казано, изследователите на ESEТ, водени от Жан-Ян Бутин, старши изследовател на ESET, осъществиха чудесно изследване, като комбинираха задълбоченото си познание за групировката Sednit APT, телеметрични данни от системите за детекция на ESET и предходни открития от колегите им в Arbor Network. Като резултат те откриха изцяло нов сет от инструменти за кибер-атаки, включително първият свободно обменян UEFI rootkit.
Кои или какво са Sednit APT?
Sednit, които са активни поне от 2004 г., са познати още с имената APT28, STRONTIUM, Sofacy и Fancy Bear. Те са една от най-активните APT (Advanced Persistent Threat) групировки, които се занимават с осъществяването на кибер-шпионство и кибер-атаки. Целите на атаките им са големи риби като големи корпорации и световни правителства.
Sednit са отговорни за хака по Националния демократичен комитет на САЩ, който се отрази и върху щатските избори от 2016 г. Техни атаки са още тази по глобалната телевизионна мрежа TV5Monde, лийковете на мейлите на Световната Анти-Допингова Организация и много други.
Групировката е екипирана с разнообразни инструменти за злонамерена кибер-дейност, някои от които са описани в предходен технически анализ на ESET, както и в множество блог публикации на WeLiveSecurity. Откриването на UEFI руткита LoJax показва, че групировката Sednit APT е дори по-развита и опасна, отколкото се предполагаше преди, твърди Жан-Ян Бутин, старши изследовател на злонамерени кодове в ESET, който водеше изследването на последната кампания на Sednit.
ESET не се заема с определянето на гео-локацията на извъшените атаки. Подобно определяне, в сериозен, научен стил, е деликатна задача, която е извън компетенциите на изследователите по сигурност на ESET. Това, което изследователите ни наричат „групировката Sednit” е просто комплект от софтуер и свързана мрежова инфраструктура, без корелация към някоя специфична организация.
Stay one step ahead with ESET
We Live Security blog
ESET's award-winning security blog has the latest on this and other discoveries
ESET Technology
Multilayered protection combining machine learning, human expertise, global threat intelligence