FRISSS!!!
Home / Címlap / Megfoghatatlanabb és ellenállóbb: komoly fejlődésen ment át a harmadik ismert firmware bootkit

Megfoghatatlanabb és ellenállóbb: komoly fejlődésen ment át a harmadik ismert firmware bootkit

Ismét élesben használt firmware bootkitre bukkantak a Kaspersky kutatói, immár a harmadik alkalommal. A MoonBounce névre keresztelt kártékony beépülő elem a számítógépek nélkülözhetetlen részét képező egységes bővíthető firmware-interfészben (UEFI firmware-ben), az SPI flash memóriában (a merevlemezen kívüli adattárolóban) rejtőzik el. Az ilyen beépülő elemeket közismerten nehéz eltávolítani, és a biztonsági termékek is csak korlátozottan észlelik őket. Az élesben először 2021. május 12-én feltűnt MoonBounce támadási mechanizmusa igen kifinomult, és szemmel látható fejlődést mutat a korábban felfedezett UEFI firmware bootkitekhez képest. A kampány elég nagy bizonyossággal a fejlett állandó fenyegetésekkel támadó, jól ismert APT41 csoportnak tulajdonítható.

Az UEFI firmware a gépek túlnyomó többségének kritikusan fontos része; a kódja felel az eszköz elindításáért és az irányítás átadásáért az operációs rendszert betöltő szoftvernek. Ez a kód az SPI flash memóriában, azaz a nem felejtő, merevlemezen kívüli adattárolóban található. Ha a firmware rosszindulatú kódot tartalmaz, akkor ez a kód már az operációs rendszer elindulása előtt futni kezd, és egy különösen nehezen törölhető firmware bootkit malware-t helyez el az eszközön, amely nem távolítható el pusztán a merevlemez újraformázásával vagy az operációs rendszer újratelepítésével. Sőt mivel a kód a merevlemezen kívül található, az ilyen bootkitek tevékenységét a biztonsági megoldások többsége tulajdonképpen nem is észleli, kivéve, ha rendelkeznek olyan funkcióval, amely kifejezetten ezt a részét vizsgálja át az eszköznek.

A MoonBounce még csak a harmadik olyan UEFI bootkit, amelynek használatát élesben észlelték. 2021. május 12-én jelent meg, és a Kaspersky kutatói akkor észlelték először, amikor a Firmware Scannerjük tevékenységét vizsgálták. Ez a technológia 2019 óta része a Kaspersky termékeinek, és kifejezetten a ROM BIOS-ban, többek között az UEFI firmware képekben rejtőző fenyegetések észlelésére szolgál. A két korábban felfedezett bootkithez (LoJax és MosaicRegressor) hasonlítva a MoonBounce jelentős fejlődést mutat: bonyolultabb a támadási mechanizmusa és technikailag is kifinomultabb. 

A beépülő elem a firmware CORE_DXE komponensében helyezkedik el; ezt a komponenst az UEFI bootolási sorrend elején kéri be a rendszer. Aztán a beépülő elem komponensei az egyes funkciókat elfogó több beavatkozási ponton keresztül bejutnak az operációs rendszerbe, ahol elérik a parancs- és vezérlőszervert további kártékony payloadok lekérése céljából, melyeket mi nem tudtunk visszakeresni. 

A MoonBounce vizsgálata során a Kaspersky kutatói több kártékony betöltőprogramot és rendszerfeltörés után telepített malware-t találtak ugyanazon hálózat több csomópontján. Ilyen volt többek között a ScrambleCross vagy a Sidewalk, egy memóriába települő beépülő elem, amely a C2 szerverrel kommunikálva információcserére és további beépülő modulok futtatására képes; a Mimikat_ssp, egy nyilvánosan elérhető, rendszerfeltörést követően használható eszköz, amely másolatot készít a hitelesítő adatokról és a biztonsági titkokról; egy korábban ismeretlen Golang-alapú hátsó kapu, valamint a Microcin, egy olyan malware, amelyet jellemzően a SixLittleMonkeys hekkercsoport használ. Lehetséges, hogy a MoonBounce ezeket a malware-darabokat tölti le, vagy hogy az egyik ilyen malware-darab általi korábbi fertőzés teszi lehetővé a gép feltörését, hogy a MoonBounce megvethesse a lábát a hálózatban. A MoonBounce általi másik lehetséges fertőzési mód az lenne, hogy a gépet még a célpont vállalatnak történő kiszállítás előtt törik fel. Bármi legyen is a helyzet, a feltételezés az, hogy a célba vett gépet távoli hozzáférés útján fertőzik meg. Továbbá, míg a LoJax és a MosaicRegressor a DXE illesztőprogramok kiegészítőit használta ki, addig a MoonBounce egy meglévő firmware-komponenst módosít egy körmönfontabb és jobban álcázott támadáshoz.

A kérdéses hálózat elleni teljes kampány során egyértelmű volt, hogy a támadók műveletek széles körét hajtották végre, többek között fájlokat archiváltak vagy hálózati információkat gyűjtöttek be. A tevékenységük során a támadók által használt parancsok arra engednek következtetni, hogy az oldalirányú mozgás és az adatok megszerzése érdekelte őket, és tekintettel arra, hogy UEFI beépülő elemet használtak, valószínű, hogy folyamatos kémkedési tevékenységet folytattak. 

A Kaspersky nagy bizonyossággal az APT41-nek, a több forrás szerint is kínai nyelvű hekkercsoportnak tulajdonítja a MoonBounce-t. Ez a csoport már legalább 2012 óta hajt végre világszerte kiberkémkedési és kiberbűnözési kampányokat. A fent említett malware-ek némelyikének ugyanazon hálózatban való jelenléte is az APT41 és más kínai nyelvű hekkercsoportok között fennálló lehetséges kapcsolatra utal. 

Eddig a firmware bootkitet csak egy technológiai piacon működő holdingvállalat egyetlen gépén találták meg, ugyanakkor számos további áldozat hálózatában is találtak más kapcsolódó kártékony mintákat (pl. a ScrambleCross és a betöltőprogramjai). 

„Bár a MoonBounce kapcsán folytatott vizsgálatunk során talált további beépülő malware-eket nem tudjuk egyértelműen a MoonBounce-hoz kötni, határozottan úgy tűnik, mintha néhány kínai nyelvű hekkercsoport megosztaná egymással az eszközöket, hogy segítséget nyújtsanak egymásnak a különféle kampányokban; különösen a MoonBounce és a Microcin között látszik kis bizonyossággal vélelmezhető kapcsolat” – fejtette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.

„Ami azonban talán még fontosabb, az az, hogy ez a legújabb UEFI bootkit jelentős fejlődést mutat a MosaicRegressorhoz képest, amelyről még 2020-ban számoltunk be. Egy korábban jóindulatú alapkomponensnek a rendszerre egy malware feltelepítését elősegítő komponenssé átalakítása ugyanis olyan innováció, amelyet korábban még sosem láttunk az élesben alkalmazott hasonló firmware bootkiteknél, és amely sokkal ravaszabbá teszi a fenyegetést. Már 2018-ban megjósoltuk, hogy az UEFI fenyegetések népszerűvé válnak, és most úgy néz ki, hogy ez a trend materializálódik. Nem lennénk meglepve, ha a 2022-es év folyamán további bootkiteket találnánk. A gyártók szerencsére elkezdtek jobban odafigyelni a firmware-eket érő támadásokra, és fokozatosan egyre több firmware biztonsági technológiát alkalmaznak, mint például a BootGuard és a megbízható platform modulok– mondta el Mark Lechtik, a Kaspersky globális kutató és elemző csapatának vezető biztonsági kutatója.

A Kaspersky a következőket ajánlja a MoonBounce-hoz hasonló UEFI bootkitek elleni védekezéshez:

  • A biztonsági operációs központok (SOC) csapatainak adjanak hozzáférést a legújabb fenyegetéselemzési adatokhoz. A Kaspersky fenyegetéselemző portálja egyablakos hozzáférést biztosít a vállalat fenyegetéselemzéseinek adataihoz, többek között a Kaspersky által több mint 20 év alatt összegyűjtött kibertámadásos adatokhoz és meglátásokhoz. 
  • Az incidensek elleni végpontszintű védelemhez, a kivizsgálásukhoz és a megfelelő időben történő orvoslásukhoz használjanak EDR megoldásokat, például a Kaspersky Endpoint Detection and Response szoftvert. 
  • Használjanak hatékony végpontvédelmi biztonsági terméket, amely a firmware-használatot is észleli, például a Kaspersky Endpoint Security for Business szoftvert.
  • Frissítsék rendszeresen az UEFI firmware-t, és csak megbízható gyártóktól származó firmware-t használjanak.
  • Alapértelmezésben kapcsolják be a Secure Bootot, különösen a BootGuardot és a megbízható platform modulokat, ha lehetséges.

Ajánlott cikk

Közös dicsőítésre hív az Ez az a nap! a nemzet új stadionjába, a Puskás Arénába

Július 23-án kerül megrendezésre az eredetileg 2020-ra tervezett nagyszabású felekezetközi zenei esemény a budapesti Puskás …

%d bloggers like this:

Annak érdekében, hogy Önnek a legjobb élményt nyújtsuk sütiket használunk honlapunkon. További információ

Az Uniós törvények értelmében fel kell hívnunk a figyelmét arra, hogy ez a weboldal ún. "cookie"-kat vagy "sütiket" használ. A sütik kicsik, teljesen veszélytelen fájlok, amelyeket a weboldal azért helyez el az Ön számítógépén, hogy minél egyszerűbbé tegye Ön számára a böngészést. A sütiket letilthatja a böngészője beállításaiban. Amennyiben ezt nem teszi meg, illetve ha az "Elfogadom" feliratú gombra kattint, azzal elfogadja a sütik használatát.

Bezárás