Antivírus blog

vírusok, férgek, botnetek, kártevők

Itt az első éles UEFI rootkit

2018. október 08. 13:41 - Csizmazia Darab István [Rambo]

Az ESET kutatói felfedeztek egy újfajta kibertámadást, amely az UEFI (Universal Extensible Firmware Interface, a BIOS utódja) rootkitet használta az áldozatok számítógépére való beférkőzéshez. A LoJax néven azonosított rootkit a hírhedt Sednit csoport egyik közép- és kelet-európai kiemelt politikai célpontokat támadó akciójában tűnt fel, ez volt a kártevő eddigi legelső ismert felbukkanása.

Bár ez előtt is tudatában voltunk annak, hogy léteznek UEFI rootkitek, azonban a felfedezésünk megerősíti, hogy ezeket már egy aktív APT csoport is használja a támadások során. Így ez már nem csak egy elméleti fikció a konferenciákon, vagy pusztán egy kísérleti kód (PoC), hanem egy valódi fenyegetés. Az UEFI rootkitek rendkívül veszélyes és félelmetes eszközök egy kibertámadás elindításához.

Kulcsként szolgálnak a számítógéphez való hozzáféréshez, nehéz felfedezni őket és képesek túlélni az olyan kiberbiztonsági intézkedéseket, mint az operációs rendszer újratelepítése vagy akár a merevlemez cseréje. Ráadásul egy olyan rendszer tisztítása, amelyet UEFI rootkit fertőzött meg, igen komoly szakértelmet követel, amely messze túlmutat egy átlagos felhasználó tudásán.

A Sednit, vagy más néven APT28, STRONTIUM, Sofacy vagy Fancy Bear az egyik legaktívabb APT (Advanced Persistent Threat) fenyegetéseket fejlesztő csoport, amelyről azt tudjuk, hogy legalább 2004 óta készítenek különféle fejlett, hosszú ideig rejtőzni képes támadásokat. Állítólag a 2016-os amerikai választások során a demokrata országos választmány elleni támadás, valamint a TV5Monde hálózatának feltörése, illetve a Nemzetközi Doppingellenes Ügynökség e-maileinek kiszivárgása is az említett Sednit csoporthoz köthető akció.

A csoport pályafutása során rosszindulatú programok egész arzenálját fejlesztette ki, ezeket a különféle rosszindulatú kódokat számos esetben leplezték már le és dokumentáltak az ESET kutatói, illetve több alkalommal a WeLiveSecurity blog bejegyzései is átfogóan foglalkoztak már ezzel a témával.

Az első, élesben használt UEFI rootkit felfedezése komoly figyelmeztetés  lehet a felhasználóknak és az olyan szervezetek számára, akik eddig gyakran figyelmen kívül hagyták a firmware-módosításokkal kapcsolatos lehetséges kockázatokat. Ezen események után már nem hagyható ki a firmware ellenőrzése sem a rendszeres biztonsági szkennelésből. Az UEFI által érintett támadások valóban rendkívül ritkák lesznek, és a támadásoknál szükség van a célba vett számítógéphez történő fizikai hozzáféréshez is.

Azonban a veszély óriási, hiszen amint egy ilyen támadás sikerrel jár, az már a számítógép teljes és folyamatos ellenőrzéséhez vezethet. Az ESET az egyetlen nagyobb, végpontvédelmi megoldásokat nyújtó vállalat, amely ilyen dedikált védelmi modullal bővítette a termékeit. Az UEFI Scanner program célja, hogy mostantól az ilyen jellegű rosszindulatú programokat is felismerje a számítógép firmware-jében.

Az ESET UEFI Scanner segítségével mind az otthoni, mind az üzleti felhasználóink képesek felfedezni és megfékezni egy ilyen támadást.

A kutatók részletes, angol nyelvű elemzése a Sednit UEFI rootkitet alkalmazó támadásról a "LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group" című háttéranyagban olvasható a mellékelt linken.

2 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr9014289027

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2018.10.09. 17:29:00

Ha bekerül az EFI-be valami kártevő, azt (szerintem) szoftveres úton, még egy szakértő sem fogja tudni eltávolítani. Tévedek? Kb. ott indul a dolog, hogy újra kell írni a flash-t, ami az EFI-t tartalmazza, de még olyankor, amikor a kártevő ezt nem tudja megakadályozni, ergo a chipet ki kell szedni és külső eszközzel újraírni. Rosszul látom a dolgot?

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2018.10.09. 17:32:27

Ja, és miért is kell fizikai hozzáférés? A legprimitívebb megoldás, hogy elhiteted az áldozattal, hogy új firmware érkezett és odaadod neki a fertőzött cuccot. Ez nem lehetséges? Már nem emlékszem, van-e update-kor aláírás ellenőrzés, ha van, akkor talán nem ennyire egyszerű...