UEFI rootkity – od teórie k reálnej hrozbe
UEFI rootkitov, svätého grálu hackerov, sa bezpečnostní experti obávali dlho, žiaden sa však reálne nenašiel. Až do momentu, kedy ESET neobjavil kampaň známej APT skupiny Sednit. O UEFI rootkitoch sa v teoretickej rovine hovorilo na bezpečnostných konferenciách. O niektorých sa vie, že ich majú k dispozícii vládne agentúry. Až do augusta 2018 sa však žiaden UEFI rootkit v skutočnom kybernetickom útoku nenašiel.
Horeuvedená Sednit kampaň použila UEFI rootkit, ktorý ESET výskumníci pomenovali LoJax. Analýza ESETu je detailne opísaná v štúdii “LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group”. Viac informácií o bezpečnosti UEFI je k dispozícii na blogu spoločnosti ESET WeLiveSecurity.
Bezpečnostné riziká firmwaru, UEFI, rootkitov
Počítačový kód, ktorý sa spúšťa hneď po zapnutí počítača a má najvyššiu moc nad jeho operačným systémom (a tým pádom nad celým zariadením), sa volá firmware. Štandard – niečo ako set pravidiel – pre to, ako sa firmware správa, sa volá UEFI (jeho predchodca sa volal BIOS). Firmware a UEFI sú často vzájomne prepojené, v tomto prípade sa volajú UEFI firmware.
Rootkit je nebezpečný škodlivý kód, ktorý je vytvorený na získanie „nelegálneho“ a trvalého prístupu k niečomu, čo inak nie je dovolené. Rootkit taktiež väčšinou maskuje svoju vlastnú existenciu alebo existenciu iného škodlivého kódu.
Zistiť viac
UEFI rootkit je taký rootkit, ktorý sa skrýva vo firmwari. Z dvoch dôvodov sú takéto rootkity extrémne nebezpečné. Po prvé, rootkity sú veľmi vytrvalé, dokážu prežiť reštart počítača, reinštaláciu operačného systému a dokonca výmenu hard disku. Po druhé, ich prítomnosť sa veľmi ťažko zisťuje, pretože firmware väčšinou nie je kontrolovaný na integritu kódu. ESET bezpečnostné riešenia, ktoré obsahujú špeciálnu bezpečnostnú vrstvu Kontrola UEFI, sú výnimkou.
Škodlivý UEFI firmware je nočnou morou pre kohokoľvek, kto sa zaoberá IT bezpečnosťou. Je veľmi nebezpečný a ťažko odhaliteľný.
Jean-Ian Boutin, výskumník spoločnosti ESET
Ako sa chrániť pred škodlivým UEFI firmwarom
ESET je jediný veľký výrobca bezpečnostných riešení, ktorého produkty majú bezpečnostnú vrstvu určenú na detekciu škodlivých doplnkov vo firmwari počítača, volá sa Kontrola UEFI.
ESET Kontrola UEFI je nástroj, ktorý sprístupňuje firmware k skenovaniu. Následne je kód firmwaru preskenovaný antimalvérovými detekčnými technológiami. ESET zákazníci si môžu firmware skenovať pravidelne, alebo jednorazovo. Väčšina detekcií je označená ako Potenciálne nebezpečná aplikácia – teda kód, ktorý má širokú moc nad systémom a môže byť preto zneužitý. Ten istý kód môže byť kompletne legitímny ak používateľ alebo administrátor vedia o jeho prítomnosti, môže byť však škodlivý, ak bol nainštalovaný bez ich vedomia alebo súhlasu.
Zistiť viac
Samozrejme po objavení prvého kybernetického útoku, ktorý využíval UEFI rootkit, môžu ESET zákazníci vybavení Kontrolou UEFI detegovať tieto škodlivé zmeny a sú v skvelej pozícii sa pred nimi chrániť.
Čo sa týka nápravy, táto je pre bežného používateľa ťažko dosiahnuteľná. V princípe vždy pomôže reflashovanie čipu čistým firwmarom. Ak to nie je možné, jedinou inou možnosťou je výmena základnej dosky počítača.
Často kladené otázky
ESET je jediný výrobca bezpečnostných riešení, ktorý chráni pred kybernetickými útokmi používajúcimi UEFI rootkity – je to pravda?
Je pravda, že ESET je jediný výrobca bezpečnostných riešení, ktorého zákazníci si môžu preskenovať UEFI firmware na prítomnosť škodlivých komponentov? Ak áno, prečo takúto technológiu nemá aj konkurencia?
ESET je jediný výrobca z top 20 výrobcov bezpečnostných riešení podľa tržieb, ktorý poskytuje svojim používateľom technológiu Kontroly UEFI priamo vo svojich bezpečnostných produktoch. Iný výrobcovia môžu mať v názvoch svojich technológií „UEFI“, ich účel je však iný, než funkcia, ktorú by mal vykonávať autentický skener firmwaru.
Dôvodom, prečo je ESET jediným výrobcom zabezpečujúcim UEFI firmware svojich používateľov, je zodpovedný prístup k ochrane. Áno, útoky vykonávané cez UEFI firmware sú ojedinelé a až doteraz sa týkali fyzického zásahu do počítača. Ak by však takýto útok bol úspešný, viedol by k totálnej a takmer trvalej kontrole nad týmto zariadením. ESET sa preto rozhodol investovať svoje zdroje do schopnosti chrániť svojich používateľov pred útokmi vykonávanými cez UEFI firmware.
Nedávne objavenie LoJaxu, prvého UEFI rootkitu nájdeného v reálnom kybernetickom útoku, ukazuje, že z UEFI rootkitov sa môže stať bežná súčasť pokročilých útokov.
Vďaka Kontrole UEFI sú našťastie naši zákazníci v skvelej pozícii zbadať takýto útok a chrániť sa pred ním.
Prečo je dôležité skenovať firmware počítača?
V krátkosti, skenovanie firmwaru je jediný spôsob, ako v ňom nájsť zmeny. Z bezpečnostného pohľadu je pozmenený firmware extrémne nebezpečný. Ťažko sa totiž deteguje a je schopný prežiť bezpečnostné opatrenia ako napríklad reinštaláciu operačného systému a dokonca aj výmenu hard disku.
Firmware môže byť pozmenený počas výroby samotného počítača alebo počas jeho dopravy, prípadne ak sa k zariadeniu fyzicky dostane útočník, tak reflashovaním firmwaru. Ako však ukazuje nedávny výskum ESETu, môže sa tak stať aj pri sofistikovanom útoku škodlivým kódom.
Ako funguje ESET Kontrola UEFI?
Firmware väčšinou nie je prístupný na skenovanie bezpečnostnými riešeniami. Výsledkom je, že bezpečnostné riešenia sú vytvárané tak, aby skenovali len diskové polia a pamäť. Pre získanie prístupu k firmwaru je potrebný špecializovaný skener.
Kontrola UEFI je modul v ESET bezpečnostných riešeniach, ktorého jedinou funkciou je čítať obsah UEFI firmwaru a sprístupniť ho tak na kontrolu. Vďaka Kontrole UEFI teda môže bežné ESET skenovacie jadro kontrolovať a vynucovať zabezpečenie prostredia pred nabootovaním.
ESET bezpečnostné riešenia s podporou UEFI skenovacej technológie sú vytvorené tak, aby detegovali podozrivé alebo škodlivé komponenty vo firmwari a oznamovali ich používateľovi.
Ako opraviť svoj UEFI firmware?
Keď je vo firmwari nájdený podozrivý alebo škodlivý komponent, používateľ s ESET riešením je na to upozornený, aby mohol učiniť potrebné kroky.
Podľa jedného scenára je všetko v poriadku – podozrivý komponent môže patriť napríklad anti-theft riešeniu, ktoré je vytvorené tak, aby bolo zo zariadenia čo najťažšie odstrániteľné.
Podľa iného scenára neexistuje legitímny dôvod na to, aby sa objavený neštandardný komponent aj naďalej nachádzal vo firmwari počítača. V takomto prípade musí dôjsť k náprave.
Žiaľ neexistuje jednoduchý spôsob, ako takúto hrozbu zo systému odstrániť. Vo väčšine prípadov musíte pre odstránenie škodlivého komponentu reflashovať firmware. Ak reflashovať UEFI nemôžete, jedinou alternatívou je výmena základnej dosky infikovaného systému.
Ako objavili výskumníci spoločnosti ESET kampaň, ktorá využívala UEFI rootkit?
ESET výskum je obšírne opísaný na blogu a v štúdii vypublikovanej na bezpečnostnom blogu firmy ESET – WeLiveSecurity.
ESET výskumníci, ktorých viedol Jean-Ian Boutin, skombinovali svoje hĺbkové znalosti o APT skupine Sednit, dáta z telemetrie detekčných systémov ESETu a predchádzajúce zistenia bezpečnostných výskumníkov z Arbor Networks. Výsledkom je, že objavili úplne novú sadu nástrojov určených na kybernetické útoky, vrátane prvého reálne objaveného UEFI rootkitu.
APT skupina Sednit – čo to je?
Sednit, ktorá funguje minimálne od roku 2004 a je taktiež známa pod menami APT28, STRONTIUM, Sofacy a Fancy Bear, je jedna z najaktívnejších APT (Advanced Persistent Threat) skupín. O týchto skupinách sa vie, že vykonávajú kybernetickú špionáž a iné kybernetické útoky zamerané na vysoko postavené ciele.
Sednit má byť za útokom na organizáciu Demokratickej strany, za únikom e-mailov Svetovej antidopingovej agentúry a za útokom na globálnu televíznu sieť TV5Monde.
Táto skupina má vo svojom arzenáli diverzifikovanú sadu nástrojov, niekoľko z nich dokumentovali ESET výskumníci v predchádzajúcej štúdii a taktiež v mnohých blogoch na WeLiveSecurity. Podľa výskumníka spločnosti ESET Jean-Ian Boutina, ktorý viedol výskum tejto Sednit kampane, objavenie UEFI rootkitu LoJax ukazuje, že APT skupina Sednit je ešte vyspelejšia a nebezpečnejšia.
ESET sa nevenuje žiadnemu geopolitickému zaradeniu zdroja tohto útoku. Ide o citlivú úlohu vyžadujúcu si seriózne vedecké schopnosti a je mimo kompetencií bezpečnostných výskumníkov ESETu. To, čo ESET výskumníci označujú za „Sednit skupinu“, je len sadou softvéru a pridruženej sieťovej infraštruktúrou bez prepojenia na špecifickú organizáciu.
Buďte o krok vpred so spoločnosťou ESET
WeLiveSecurity blog
Oceňovaný bezpečnostný blog ESETu má najnovšie informácie o tejto a iných hrozbách
ESET Technológie
Viacvrstvová ochrana spájajúca Machine learning, ľudskú odbornosť a najnovšie informácie o hrozbách