Протягом останніх кількох років однією з топових тем в галузі інформаційних технологій залишається безпека UEFI (Unified Extensible Firmware Interface). Зокрема інтерес спеціалістів з кібербезпеки та користувачів пов’язаний з виявленням першого UEFI-руткіта під назвою LoJax у 2018 році.
Це шкідливе програмне забезпечення отримувало повний контроль над комп'ютерами жертв, залишаючись в системі після повторної інсталяції операційної системи (ОС) або навіть заміни жорсткого диску. Саме виявлення цієї загрози стало поштовхом до створення спеціалістами ESET системи для безпеки UEFI, яка б дозволяла ефективно досліджувати вже відомі та нові загрози.
На основі даних телеметрії було розроблено спеціальну технологію обробки виконуваних файлів UEFI з використанням методів машинного навчання з метою виявлення підозрілих дій у вхідних зразках. «Система самостійно виявляє аномальні зразки шляхом пошуку нетипових характеристик у виконуваних файлах UEFI», — коментують дослідники компанії ESET.
Що таке UEFI?
Це розширений інтерфейс між операційною системою та вбудованим програмним забезпеченням (ПЗ) пристрою, який був створений для заміни застарілого інтерфейсу BIOS (Basic Input/Output System). Зокрема він визначає набір стандартизованих сервісів, таких як «boot services» та «runtime services» в Прикладному програмному інтерфейсі (API).
Вбудоване ПЗ зберігається у флеш-пам’яті SPI, яка є мікросхемою на материнській платі системи. Таким чином, повторне встановлення ОС або заміна жорсткого диска не впливає на код вбудованого програмного забезпечення. На відміну від BIOS, UEFI містить сотні різних виконуваних файлів або драйверів.
UEFI як вектор атаки
Існує кілька способів зміни вбудованого програмного забезпечення для інфікування пристрою користувача. Найпоширеніший варіант — це використання зловмисниками модифікації вбудованого ПЗ, призначеного для віддаленої діагностики або сервісного обслуговування. Другий метод передбачає отримання зловмисниками фізичного доступу до інфікованого пристрою.
Крім цього, існує ще третій спосіб, який передбачає атаки з використанням шкідливих програм, здатних змінювати вбудоване ПЗ. Прикладом уже виявленої загрози є перший руткіт під назвою LoJax, який використала група кіберзлочинців Sednit для атаки на урядові організації на Балканах, а також в Центральній та Східній Європі. Цей шкідливий модуль UEFI здатний завантажувати та виконувати небезпечний код на диску за допомогою методу стійкості.
Безпека UEFI з використанням технологій машинного навчання
На сьогодні шкідливий код, подібний до руткіту LoJax, не поширений. У реальному середовищі існує безліч виконуваних файлів UEFI, і лише невелика частина з них шкідлива. Зокрема за останні два роки було виявлено понад 2,5 мільйона унікальних виконуваних файлів із загальної кількості 6 мільярдів. У зв’язку з неможливістю проаналізувати таку велику кількість файлів, спеціалісти ESET вирішили створити автоматизовану систему з метою зменшення кількості зразків, які потребують втручання людини.
Створена технологія обробки була протестована на відомих підозрілих та шкідливих виконуваних файлах UEFI, зокрема і на LoJax. Система виявила, що руткіт під назвою LoJax значно відрізнявся від будь-яких виявлених раніше зразків. «Проведене тестування підтвердило, що за умови появи подібної загрози UEFI ми зможемо визначити та негайно проаналізувати її», — доповнюють спеціалісти компанії ESET.
Варто зазначити, що сканер UEFI здійснює моніторинг UEFI у режимі реального часу. Зокрема кожен новий вхідний виконуваний файл додається до масиву даних, обробляється, індексується та враховується під час опрацювання інших зразків.
Відстежуючи загрози UEFI за допомогою цієї системи, спеціалісти ESET виявили небажані компоненти, які можна розділити на дві категорії – бекдор вбудованого ПЗ та модулі стійкості на рівні ОС. У першому випадку зловмисники намагаються обійти захист системи від несанкціонованого доступу. Найчастіше параметри UEFI дозволяють встановлювати паролі для захисту доступу до налаштувань. Тоді як бекдори дозволяють обходити цей захист без використання пароля.
Прикладом подібної загрози є бекдор, виявлений у декількох моделях ноутбуків ASUS. Варто зазначити, що після попередження спеціалістами ESET постачальник пристроїв усунув проблему та випустив відповідне оновлення.
Також небезпеку можуть становити модулі стійкості на рівні операційної системи, які відповідають за інсталяцію програмного забезпечення. Через складність процесу оновлення вбудованого ПЗ комп'ютер з уразливим компонентом може містити уразливість протягом усього терміну використання.
«Хоча наша система обробки ще не знайшла жодної нової шкідливої програми UEFI, попередньо отримані результати мають великі перспективи», — коментують спеціалісти компанії ESET.
Безпека UEFI: способи виявлення та видалення шкідливого компоненту
Через зростання кількості складних атак кіберзлочинців на систему безпеки UEFI, користувачі мають забезпечити надійний захист своїх комп'ютерів та інформації, яка зберігається на них. Саме тому компанія ESET стала першим ІТ-вендором, який доповнив власні продукти функцією для забезпечення безпеки UEFI. Сканер перевіряє та забезпечує захист середовища попереднього завантаження у системах з інтерфейсом UEFI. Функція виявляє шкідливі компоненти у вбудованому програмному забезпеченні та повідомляє про їх наявність користувачу.
З точки зору безпеки UEFI, інфіковане вбудоване ПЗ становить велику загрозу, оскільки його дуже важко виявити та видалити. Також не існує простих способів очищення пристрою від такого виду загрози. Часто видалити шкідливий компонент неможливо за допомогою повторного встановлення операційної системи та навіть заміни жорсткого диска, допомогти може лише повне очищення вбудованого ПЗ. У разі неможливості такої дії єдиною альтернативою є зміна материнської плати інфікованого пристрою.