Перейти к содержанию

MosaicRegressor: вредоносы с доставкой через UEFI


Рекомендуемые сообщения

Недавно наши исследователи обнаружили сложную целевую атаку, направленную на дипломатические учреждения и общественные организации в Африке, Азии и Европе. Насколько они смогли определить, все жертвы так или иначе имели отношение к Северной Корее — будь то через какую-либо некоммерческую активность в этой стране или же через дипломатические связи.

В этой атаке злоумышленники использовали сложный модульный шпионский фреймворк, который мы назвали MosaicRegressor. В процессе расследования нам удалось выяснить, что в некоторых случаях вредоносное ПО попадало на компьютеры жертв способом, который крайне редко встречается «в дикой природе»: с помощью модифицированных UEFI. Впрочем, это был не единственный способ доставки вредоноса в ОС: в большинстве случаев атакующие применяли более традиционный метод — целевой фишинг.

Что такое UEFI и в чем опасность буткита

Если попробовать упростить, можно сказать, что UEFI (как и BIOS, которой UEFI пришла на смену) — это ПО, которое запускается при старте компьютера, еще до запуска самой операционной системы. При этом оно хранится не на жестком диске, а на отдельном чипе материнской платы. Если злоумышленникам удается модифицировать код UEFI, то они потенциально могут использовать его для доставки вредоносного программного обеспечения в систему жертвы.

В ходе описываемой кампании мы обнаружили именно такой случай. Причем для создания своих модифицированных прошивок UEFI злоумышленники использовали исходники утекшего в сеть буткита группы HackingTeam — VectorEDK. Несмотря на то, что в открытом доступе исходные коды оказались еще в 2015 году, мы до сих пор не видели свидетельств его использования злоумышленниками.

При запуске системы буткит размещает в папке автозагрузки системы вредоносный файл IntelUpdate.exe, который затем загружает и устанавливает на ПК компоненты MosaicRegressor. Учитывая «обособленность» UEFI, даже при обнаружении этого вредоносного файла избавиться от него практически невозможно. Не поможет ни его удаление, ни переустановка системы. Единственный способ решить проблему — перепрошивка материнской платы.

Чем опасен MosaicRegressor

Независимо от того, каким способом компоненты MosaicRegressor проникали на компьютер жертвы — через скомпрометированный UEFI или при помощи целевого фишинга, — они подключались к командным серверам, скачивали дополнительные модули и запускали их. Далее эти модули использовались для кражи информации. Например, один из них собирал недавно открытые документы, архивировал их и отправлял авторам атаки.

Для коммуникации с командными серверами применялись разнообразные механизмы: библиотека cURL (для работы через HTTP/HTTPS), интерфейс Background Intelligent Transfer Service (BITS), программный интерфейс WinHTTP, публичные почтовые сервисы по протоколу POP3S/SMTP/IMAPS.

Более подробный технический анализ вредоносного фреймворка MosaicRegressor вместе с индикаторами компрометации доступен на сайте Securelist.

Как защититься от MosaicRegressor

Чтобы не стать жертвой MosaicRegressor, в первую очередь, следует бороться с попытками целевого фишинга, ведь большая часть сложных атак начинается именно так. Для максимально эффективной защиты рабочих компьютеров мы бы рекомендовали совмещать защитные продукты с продвинутыми антифишинговыми технологиями, а также повышать осведомленность сотрудников об атаках такого типа.

Вредоносные модули, занимающиеся кражей информации, наши защитные решения успешно выявляют.

Что касается скомпрометированных прошивок, то мы, к сожалению, не знаем точно, каким образом буткит попадал на компьютеры жертв. Основываясь на данных из утечки HackingTeam, можно предположить, что для этого злоумышленникам требовался физический доступ к компьютеру жертвы. А именно — его загрузка с USB-носителя. Однако не исключено, что есть и другие методы компрометации UEFI.

Для защиты от UEFI-буткита MosaicRegressor у нас есть следующие рекомендации:

  • От несанкционированной модификации прошивку компьютера защищает Intel Boot Guard — правда, далеко не все оборудование обладает поддержкой этой полезной функции (вы можете проверить это на сайте производителя своего компьютера или материнской платы).
  • Использование шифрования диска (FDE) поможет предотвратить установку буткитом в операционную систему полезной нагрузки — вредоносных модулей, которые представляют непосредственную опасность.
  • Также следует использовать надежные защитные решения, способные выявлять угрозы такого типа. Наши продукты с 2019 года умеют искать угрозы, скрывающиеся в ROM BIOS и в прошивках UEFI. Собственно, данная атака изначально была обнаружена при помощи ответственной за это технологии — Firmware Scanner.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Когда пользователь включает ноутбук, до загрузки операционной системы на экран выводится логотип производителя. В теории, этот логотип можно изменить — данная функция предусмотрена для производителей ноутбуков или настольных компьютеров. Но никто не запрещает воспользоваться ей и простому пользователю — если что, можно поменять дефолтный логотип производителя на какую-то другую картинку.
      Логотип хранится в составе программного кода, который запускается на настольном ПК или ноутбуке сразу после включения, в так называемой прошивке UEFI. Оказалось, что такая неявная возможность замены логотипа открывает путь для серьезной компрометации устройства — взлома с последующим захватом контроля над системой, который можно провести даже удаленно. Возможность проведения такой атаки, получившей название LogoFAIL, недавно продемонстрировали специалисты компании Binarly. Сегодня мы попытаемся рассказать об этой атаке простыми словами, но сначала давайте вспомним об опасности так называемых UEFI-буткитов.
      UEFI-буткиты: зловреды, загружаемые до системы
      Исторически программа, исполняемая на раннем этапе включения ПК, называлась BIOS или Basic Input/Output System. Это была крайне ограниченная в своих возможностях, но необходимая программа, задачей которой была инициализация аппаратных систем компьютера и передача управления загрузчику операционной системы. С конца 2000-х годов BIOS постепенно начали заменять на UEFI – расширенную версию такой же «базовой» программы, получившую дополнительные возможности, в том числе – защиту от выполнения вредоносного кода.
      В частности, в UEFI был реализован протокол Secure Boot, который с помощью криптографических алгоритмов позволяет проверять код на каждом этапе загрузки компьютера. Это значительно усложняет, например, подмену реального кода ОС на вредоносный. Но, увы, даже эти технологии безопасности не исключили полностью возможность загрузки вредоносного кода на раннем этапе. И если злоумышленникам удается «протащить» в UEFI вредоносную программу или так называемый буткит, последствия будут крайне неприятными.
      Дело в том, что UEFI-буткит крайне сложно отследить из самой операционной системы. Буткит способен модифицировать файлы системы, запускать вредоносный код в ОС с максимальными привилегиями. А главная проблема заключается в том, что он способен пережить не только переустановку операционной системы с нуля, но и замену жесткого диска. Находясь в прошивке UEFI, буткит не зависит от данных, хранимых на системном носителе. В результате буткит часто используется в сложных, таргетированных атаках. Пример такой атаки описан, например, в этом исследовании наших экспертов.
       
      Посмотреть статью полностью
    • NewPatriot
      От NewPatriot
      Приветствую вас.
      Подскажите какой вредонос оказал на вас самое большое впечатление / влияние и почему?
      Заранее спасибо!)
    • KL FC Bot
      От KL FC Bot
      В конце года, перед рождественскими и новогодними праздниками, бухгалтерии многих компаний, мягко говоря, заняты. Бухгалтеры подбивают баланс, закрывают счета, планируют бюджет на следующий финансовый период. И все это в предпраздничной лихорадке, зачастую на фоне корпоративов и откровенно нерабочего настроения коллег. Разумеется, этой ситуацией не могли не воспользоваться злоумышленники: они пытаются подсунуть компаниям фальшивые счета, в надежде, что среди потока документов их просто, не разбираясь, оплатят.
      Отличительные особенности мошеннической схемы
      Во-первых, сам факт, что письмо пришло случайному сотруднику, а не непосредственно в бухгалтерию, — уже должен настораживать. Преступникам неоткуда взять настоящий адрес бухгалтеров, они работают по спамерским базам адресов, а туда попадают в первую очередь публично доступные контакты — сотрудников отдела кадров, департамента по связям с общественностью, технической поддержки клиентов и так далее.
      Иногда отправители письма объясняют, что потеряли или неправильно записали адрес бухгалтерии и просят передать счет куда следует, а иногда не утруждают себя этим, а просто присылают документ. Но это не может быть оправданием для отсылки письма по случайному адресу. Если отправленная документация действительно нужна кому-то из сотрудников компании, он сам свяжется с отправителем, выяснит причины задержки с доставкой и, если надо, уточнит адрес бухгалтерии.
      Типичный пример мошеннического письма.
      Пересылка писем коллегам — это медвежья услуга. Письмо, переданное коллегой, с большей вероятностью «сработает». Если некто пересылает в бухгалтерию счет, значит, он, вероятно, заинтересован в его оплате, ждет получения неоплаченной услуги — так ведь? Да и вообще, письмо от сотрудника той же компании вызывает заведомо меньше подозрений, чем внешняя корреспонденция.
      Во-вторых, преступники понимают, что выставлять крупные счета — опасно. Не задумываясь, оплатить могут сравнительно небольшую сумму, незначительную по меркам большой компании.
      В-третьих, в подавляющем большинстве случаев речь идет об услуге по доставке корреспонденции. Причем письмо составлено максимально невнятно, так что даже не всегда понятно — выставлен счет непосредственно отправителем или компанией (или индивидуальным предпринимателем), занимающейся доставкой.
       
      Посмотреть статью полностью
    • NickM
      От NickM
      Уважаемые, здравствуйте!

      Собственно сама новость (не большие заметки - (1), (2)).

      Кто-нибудь уже начал/ начинал суетиться по вопросу из сабжа?

      Я тут огляделся и у Себя в организации штук 25 насчитал таких мат.плат, которые потребуют обновления (добрую половину уже обновил, заодно отключил "AppCenter" в "BIOS", который, по умолчанию, вот неожиданность, в "Enabled").

      Только полагаю производитель положил болт на древние чипсеты.

      Располагаю такими мат.платами:
      "B360M DS3H" - обновление отсутствует; "B365M DS3H" - обновление отсутствует; "B460M D3H" - обновление имеется; "B660M DS3H DDR4" - обновление имеется.
    • KL FC Bot
      От KL FC Bot
      Данные могут утечь у компаний, работающих в совершенно разных отраслях. Одни утечки содержат больше информации, другие меньше. Иногда может казаться, что в очередной опубликованной базе нет ничего критического. Но можно ли считать такую утечку абсолютно безопасной? Давайте посмотрим на примере сервисов доставки еды.
      Специалисты «Лаборатории Касперского» проанализировали случаи утечек данных в России за прошлый год и обнаружили, что 12% инцидентов, связанных с утечками пользовательских данных, произошли именно в организациях категории «Рестораны и доставка еды». Из-за них в публичный доступ попали в общей сложности почти 14 миллионов пользовательских данных. На первый взгляд, в подобных базах нет каких-то сверхчувствительных данных (банковских или паспортных), но в реальности эти утечки могут доставить много неприятностей и бизнесам, и их клиентам.
      Что за данные присутствуют в утечках
      Для начала следует уточнить, что в утечках из сервисов доставки маловероятно найти данные банковских карт — просто потому, что подобные организации не имеют с ними дела. Как правило, у них подключен платежный шлюз, этим шлюзом управляет банк-эквайер, номер карты вбивается на странице банка, и мерчант (поставщик услуги) не то что не хранит его, он его вообще не видит. Даже если при оплате пользователь соглашается привязать карту, это происходит на стороне банка, а мерчант только получает идентификатор «биндинга».
      Тем не менее утечки из сервисов доставки еды опасны — как правило, даже более, чем утечки из маркетплейсов. Дело в том, что заказ с маркетплейса можно получить в пункте выдачи или на почте, а заказ еды, очевидно, всегда доставляется по фактическому активному адресу проживания (или как минимум частого присутствия) клиента. И это уже серьезно: перед нами буквально персональные данные, позволяющие надежно связать человека, его номер телефона и физический адрес, а также получить некоторое представление о его достатке и поведенческих паттернах.
       
      View the full article
×
×
  • Создать...