Запознайте се с ESPecter: нов bootkit на UEFI за кибер шпионаж

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Открит е нов bootkit за провеждане на скрит кибершпионаж, който е в състояние да компрометира системните дялове.

Изследователи от ESET казват новия зловреден софтуер, наречен ESPecter, беше открит едва наскоро, но произходът на bootkit се проследява до 2012 г. – което предполага, че софтуерът е достатъчно скрит, за да е избегнал откриването от екипите за киберсигурност през по -голямата част от десетилетие.

„Ние проследихме корените на тази заплаха поне до 2012 г .; преди това тя работеше като bootkit за системи със стари BIOS“, коментира Антон Черепанов, изследовател на ESET. “Въпреки дългото съществуване на ESPecter, неговите операции и надграждане до UEFI останаха незабелязани и досега не са документирани.”

Единствената радикална промяна в зловредния софтуер от 2012 г. насам е преминаването от проникване в стария BIOS и Master Boot Record (MBR) към съвременния UEFI. UEFI е критичен компонент в етапа преди OS на стартираща машина и има ръка при зареждането на операционна система.

Зловредният софтуер се вкоренява в системния дял на EFI (ESP) и продължава чрез корекция, приложена към Windows Boot Manager, но това все още не е напълно анализирано.

Кръпката позволява на ESPecter да заобиколи протоколите на Windows за подпис на драйвери (DSE), за да зареди собствените си неподписани драйвери на целевата машина и да инжектира други компоненти, за да създаде връзка със сървъра за управление и управление (C2) на оператора.

ESET откри проба от ESPecter на компютър, заедно с функционални модули за записване на клавиатура и кражба на документи, индикатор, че зловредният софтуер вероятно се използва за целите на наблюдението.

Веднъж изпълнен на целева машина, ESPecter е в състояние да разгърне бекдор, съдържащ команди за кибер шпионаж, а наред с регистрационните файлове и документи, зловредният код също прави скрийншоти редовно и скрива това съдържание в скрита директория.

Функцията Secure Boot обаче трябва да бъде деактивирана за успешна атака на ESPecter.

“Заслужава да се спомене, че първата версия на Windows, поддържаща Secure Boot, беше Windows 8, което означава, че всички предишни версии са уязвими към този метод на постоянство”, казва екипът.

Изследователите не са намерили конкретни доказателства за приписване, но има улики в компонентите на зловредния софтуер-по-специално съобщения за отстраняване на грешки-което предполага, че участниците в заплахата са китайскоговорящи.

Също така не е известно как се разпространява ESPecter; обаче има редица потенциални сценарии: нападателят има физически достъп до целевата машина, Secure Boot вече е деактивиран или експлоатацията на грешка в UEFI с нулев ден или известен, но неизправен недостатък в защитата в наследствения софтуер .

„Въпреки че Secure Boot пречи на изпълнението на ненадеждни двоични файлове на UEFI от ESP, през последните няколко години станахме свидетели на различни уязвимости на фърмуера на UEFI, засягащи хиляди устройства, които позволяват деактивирането или заобикалянето на Secure Boot“, казва ESET. “Това показва, че защитата на фърмуера на UEFI е предизвикателна задача и че начинът, по който различните доставчици прилагат политиките за сигурност и използват услугите на UEFI, не винаги е идеален.”


Имате бакшиш? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •