El primer malware UEFI descubierto en estado salvaje es el portátil software de seguridad secuestrado por rusos

El primer malware UEFI descubierto en la naturaleza es el software de seguridad para portátiles secuestrado por los rusosEnlargeChatri Attanatwong / Getty Images

ESET Research ha publicado un artículo que detalla el descubrimiento de un campaña de malware que utilizó software comercial reutilizado para crear una puerta trasera en el firmware de las computadoras, un “rootkit” activo desde menos a principios de 2017 y capaz de sobrevivir a la reinstalación de el sistema operativo Windows o incluso el reemplazo del disco duro. Mientras el malware había sido detectado anteriormente, la investigación de ESET es la primero en mostrar que estaba atacando activamente el firmware de computadoras para establecer un punto de apoyo tenaz.

Apodado “LoJax”, el malware es el primer caso de un ataque aprovechando el arranque de la interfaz de firmware extensible unificada (UEFI) sistema utilizado en un ataque de un adversario. Y basado en el forma en que se propagó el malware, es muy probable que fuera escrito por el grupo de amenaza Sednit / Fancy Bear / APT 28: el ruso operación patrocinada por el estado atada por la inteligencia y la ley de EE. UU. aplicación del ciberataque contra el Nacional Democrático Comité.

UEFI uh-oh

Ha habido una serie de preocupaciones de seguridad sobre los UEFI potencial como escondite para rootkits y otro malware, incluidos los planteados por Dick Wilkins y Jim Mortensen de desarrollador de firmware Phoenix Technologies en una presentación en UEFI Plugfest el año pasado. “El firmware es software y, por lo tanto, es vulnerable a las mismas amenazas que generalmente se dirigen al software ” ellos explicaron. UEFI es esencialmente un sistema operativo liviano por derecho propio, por lo que es un lugar útil para colocar rootkits para aquellos quien puede manejarlo.

Los archivos de la Bóveda 7 de WikiLeaks mostraron que la CIA aparentemente desarrolló un implante para las computadoras de Apple que usaba Extensible Interfaz de firmware (el predecesor de UEFI) pero requiere física acceso a la computadora objetivo y un Thunderbolt malicioso Adaptador Ethernet (llamado “Destornillador sónico”). Pero LoJax es un animal completamente diferente: fue construido para ser desplegado de forma remota, utilizando herramientas de malware que pueden leer y sobrescribir partes de UEFI memoria flash del firmware.

“Junto con los agentes de LoJax”, anotaron los investigadores de ESET, “herramientas con la capacidad de leer el firmware UEFI de los sistemas se encontraron, y en En un caso, esta herramienta fue capaz de volcar, parchear y sobrescribir parte de la memoria flash SPI del sistema. El objetivo final de esta herramienta era Instalar un módulo UEFI malicioso en un sistema cuya memoria flash SPI las protecciones eran vulnerables o estaban mal configuradas “.

Debido a las variaciones en la implementación de UEFI, esos tipos de problemas de protección de memoria, el tipo de cosas que Wilkins y Mortensen advirtió de que han sido demasiado comunes. Y ESET los investigadores encontraron al menos un caso confirmado de éxito despliegue de LoJax.

Los buenos hackers toman prestado, los hackers estatales roban

Si bien LoJax muestra todas las características de un ataque financiado por el estado, el equipo de Fancy Bear tuvo un poco de ventaja cuando llegó a la carga útil de UEFI: los Bears tomaron prestado de un software comercial producto diseñado específicamente para mantenerse activo en la computadora firmware. El rootkit de LoJax es esencialmente una versión modificada de un Lanzamiento en 2008 del agente antirrobo LoJack de Absolute Entonces ftware, conocido en el lanzamiento como Computrace.

“LoJack atrajo mucha atención en los últimos años ya que implementa un módulo UEFI / BIOS como mecanismo de persistencia “, el ESET El equipo escribió. Ese módulo de firmware aseguró un software “agente pequeño” permaneció instalado en la computadora, que se conectó a un Absoluto Servidor web, incluso si la computadora tenía su unidad borrada. En otra palabras, Computrace era un firmware desarrollado comercialmente rootkit

Los protocolos utilizados por el cliente asociado con LoJack / Computrace no tenía autenticación. Entonces, si alguien pudiera hacerse pasar por los servidores absolutos, habrían podido secuestrar al cliente para sus propios fines. Si bien este problema fue traído por investigadores en 2014, pasarían cuatro años más antes de que era una pista de que alguien realmente había hecho eso.

El 1 de mayo, Arbor Networks informó el descubrimiento de “troyano” muestras del agente pequeño LoJack: versiones que se habían modificado para comunicarse con servidores sospechosos de estar conectados a Fancy Bear ocupaciones. Los dominios utilizados por el malware fueron los mismos utilizados en 2017 para otra puerta trasera conocida como SedUploader. Las diferencias entre el cliente legítimo LoJack y el cliente malicioso eran tan pequeño, en decenas de bytes, según los investigadores de ESET, que en gran medida no se detectaban como malware.

“En el momento en que se publicó el blog [Arbor Networks]”, el ESET El equipo escribió: “Hemos encontrado diferentes agentes pequeños LoJax dirigidos diferentes entidades en los Balcanes, así como en el centro y este Europa, pero no tenía idea de cómo se instalaron “. Mientras que algunas huellas de otros malware Fancy Bear / Sednit se encontraron en algunos casos, hay Hubo otros donde no había medios de entrega aparentes.

Y luego los investigadores encontraron dos herramientas en un infectado sistema: uno destinado a leer la interfaz periférica en serie (SPI) memoria flash asociada con el firmware UEFI y otra para sobrescribir ese recuerdo La herramienta de lectura se basó en controladores de forma gratuita, herramienta legítima llamada RWEverything. La herramienta del escritor ReWriter_binary, busca la sección de la memoria flash del firmware que contiene controladores de entorno de ejecución de controladores (DXE): controladores que ejecutar muy temprano en el arranque UEFI. Luego escribe su propio controlador DXE malicioso en esa área de memoria, intentando evitar cualquier restricción establecida en el firmware para evitar tal escribir. Desafortunadamente, muchas de las salvaguardas para prevenir tales la escritura maliciosa en el BIOS está desactivada de manera predeterminada en muchos UEFI implementaciones

En otro préstamo, el código en el UEFI malicioso el módulo utiliza un controlador NTFS para acceder a la partición del disco de Windows para hacer cambios e instalar su agente. Este controlador NTFS fue robado del software filtrado escrito por la información con sede en Milán Equipo de piratería de la empresa de seguridad (y piratería ofensiva de alquiler). Sorealmente, este rootkit patrocinado por el estado ruso fue un esfuerzo de equipo.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: