Вредоносное ПО Stealthy MoonBounce UEFI опасно заражает ваш BIOS для выполнения вредоносного кода

Касперский обнаружил руткит Moonbounce в прошивке uefi
Когда люди думают о вредоносном ПО и вредоносном коде, они могут представить себе зараженный файл или загрузку из отрывочного письма или веб-сайта на свой компьютер. Тем не менее, этот вид инфекции на самом деле является лишь верхушкой айсберга и часто является одним из наименее изощренных. Исследователи «Лаборатории Касперского» обнаружили сложную компрометацию на уровне прошивки, которая работает в памяти, оставляя скудные следы. К счастью, эти виды инфекций являются скорее целевыми и могут быть защищены с помощью правильной стратегии и инструментов.

В 2021 году « Лаборатория Касперского » Продукт под названием «Firmware Scanner» обнаружил компрометацию прошивки Unified Extensible Firmware Interface (UEFI) через один компонент в проверенном коде. Этот взлом позволил злоумышленникам настроить поток выполнения последовательности загрузки машины, что позволило внедрить вредоносный код. Затем этот код будет жить во флэш-памяти, где находится прошивка, что позволяет коду сохраняться при форматировании диска или полной замене диска.

блок-схема прошивки uefi руткит moonbounce найден касперским
Эта цепочка заражения работала за счет использования части микропрограммы CORE_DXE, которая вызывается на этапе среды выполнения драйвера последовательности загрузки. В рамках этой фазы CORE_DXE загружает набор областей памяти для подпрограмм, которые являются частью этого компонента и могут вызываться другими драйверами DXE в последовательности загрузки. Заражение начинается, когда несколько функций в таблице адресов памяти перехватываются перед выполнением. Затем поток этих функций перенаправляется на контролируемый злоумышленником код, добавляемый к образу CORE_DXE, который запускает многоэтапный процесс, в ходе которого вредоносный код распространяется по образу CORE_DXE на другие загрузочные компоненты во время последовательности загрузки.

Как только вредоносный код попадает в Windows ядра, он развертывает вредоносное ПО, внедряя его в процесс svchost.exe после запуска операционной системы. Затем это вредоносное ПО обращается к URL-адресу управления и контроля, где оно пытается получить дополнительные полезные нагрузки для запуска в памяти. Вы можете увидеть, как этот процесс работает на диаграмме выше, которая описывает процесс более подробно.

Согласно Securelist , который первоначально сообщил на самом деле этот руткит прошивки был обнаружен только в одном случае вместе с несколькими другими вредоносными образцами в том же сетевом диапазоне. Более того, к той же командно-административной инфраструктуре обращалось другое вредоносное ПО из сети «организации, контролирующей несколько предприятий, занимающихся транспортными технологиями». Конечно, все это говорит о том, что обычный человек не подвергается риску, и эта работа, которая, казалось бы, связана с Advanced Persistent Threat (APT) 41, Earth Baku или SparklingGoblin, является частью шпионской операции.

Несмотря на этот очевидный ограниченный круг целей, Securelist предупреждает, что люди должны обновлять свою прошивку UEFI и проверять, включен ли BootGuard, если это применимо. Кроме того, предлагается включить доверенные платформенные модули, а для дополнительной безопасности следует использовать продукты для защиты от вредоносных программ, которые могут анализировать прошивку.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал