UEFI rootkits – od teorije do resnične grožnje
UEFI rootkits, sveti gral hekerjev, so se dolgo bali, a nobena ni bila videna v divjini - dokler ESET ni odkril kampanje zloglasne skupine Sednit APT. Nekateri UEFI korenski pripomočki so bili predstavljeni na varnostnih konferencah kot dokaz koncepta; za nekatere je znano, da so na voljo vladnim agencijam. Vendar pa do avgusta 2018 v resničnem kibernetskem napadu ni bil odkrit noben UEFI rootkit.
Zgoraj omenjena kampanja Sednit je uporabila UEFI rootkit, ki so ga raziskovalci ESET imenovali LoJax. ESET-ova analiza kampanje je podrobno opisana v “LoJax: prvi UEFI rootkit, ki ga najdemo v divjini, z belo knjigo skupine Sednit”. Več informacij o varnosti, povezanih z UEFI, lahko najdete na varnostnem blogu podjetja ESET, WeLiveSecurity.
Varnostna tveganja firmware, UEFI, rootkitov
Računalniška koda, ki se začne takoj po vklopu računalnika in ima največjo moč nad operacijskim sistemom računalnika (in s tem celotnim računalnikom), se imenuje vdelana programska oprema. Standard - pomislite na to kot na niz pravil - za to, kako se firmware obnaša, imenujemo UEFI (njegov predhodnik se je imenoval BIOS). Firmware in UEFI sta pogosto povezana skupaj in imenovana UEFI firmware.
Rootkit je nevarna zlonamerna programska oprema, ki je zasnovana tako, da pridobi nezakonit in trajen dostop do tega, kar sicer ni dovoljeno. Navadno rootkit tudi maskira svoj obstoj ali obstoj druge zlonamerne programske opreme.
Več
UEFI rootkit je rootkit, ki se skriva v programski opremi, in dva razloga sta za to vrsto rootkita izjemno nevarna. Prvič, UEFI rootkiti so zelo obstojni, sposobni preživeti ponovni zagon računalnika, ponovno namestitev operacijskega sistema in celo zamenjavo trdega diska. Drugič, težko jih je odkriti, ker vdelana programska oprema običajno ni pregledana za integriteto kode. Izjema so ESET varnostne rešitve, ki vsebujejo namensko plast zaščite, ESET UEFI Scanner.
Zlonamerna programska oprema UEFI je nočna mora za vse, ki se ukvarjajo z varnostjo IT, zelo škodljiva in težko zaznavna
Jean-Ian Boutin, Senior Malware Researcher at ESET
Kako ESET varuje pred zlonamerno programsko opremo UEFI
ESET je edini večji ponudnik internetne varnosti, ki doda namensko plast, ESET UEFI Scanner, ki je namenjena odkrivanju zlonamernih komponent v vdelani programski opremi.
ESET UEFI Scanner je orodje, ki omogoča dostop do firmware za skeniranje. Kasneje se koda programske opreme optično prebere s tehnologijami za zaznavanje zlonamerne programske opreme. ESET-ovi uporabniki lahko redno pregledujejo vdelano programsko opremo računalnika ali na zahtevo. Večina detekcij je označenih kot Potencialno nevarne aplikacije - koda, ki ima široko moč nad sistemom in jo je zato mogoče zlorabiti. Ista koda je lahko povsem legitimna, če uporabnik ali skrbnik ve o njeni prisotnosti ali pa je zlonamerna, če je bila nameščena brez njihovega znanja in soglasja.
Več
Seveda, od odkritja prvega kibernetskega napada z uporabo rootkita UEFI lahko uporabniki ESET-a, opremljeni z ESET UEFI Scannerjem, tudi zaznajo te zlonamerne spremembe in so zato v odličnem položaju, da se zaščitijo.
Kar se tiče sanacije, je izven dosega tipičnega uporabnika. Načeloma ponovno pomaga utripati čip s čisto vdelano programsko opremo. Če to ni mogoče, je edina preostala možnost zamenjava matične plošče računalnika.
Pogosto zastavljena vprašanja
ESET je edini prodajalec varnostnih točk za končne točke, ki ščiti pred kibernetskimi napadi UEFI rootkit - res?
Ali je res, da je ESET edini prodajalec rešitev za varnostne končne točke, katerega stranke imajo lahko UEFI firmware skenirane za zlonamerne komponente? Če je odgovor pritrdilen, kakšen je razlog, da konkurenti podjetja ESET nimajo takšne tehnologije?
ESET je edini prodajalec med 20 najboljšimi ponudniki rešitev za varnost končnih točk s prihodki, ki svojim uporabnikom zagotavlja tehnologijo skeniranja UEFI, ki je vgrajena v rešitve za zaščito končnih točk. Medtem ko imajo nekateri drugi proizvajalci nekatere tehnologije z »UEFI« v svojem naslovu, je njihov namen drugačen od funkcije, ki bi jo moral imeti pristen skener strojne programske opreme.
Razlog je, da je ESET edini prodajalec na svojem področju, ki varuje strojno programsko opremo svojih kupcev UEFI. Da, napadi, ki jih omogočajo UEFI firmware, so občasni in do sedaj so bili večinoma omejeni na fizične posege v ciljni računalnik. Vendar bi tak napad, če bi uspel, vodil do popolnega nadzora nad strojem, s skoraj popolno vztrajnostjo. ESET se je zato odločil, da bo svoje vire vlagal v zmožnost zaščite svojih strank pred napadi, ki jih je omogočil UEFI firmware.
Nedavno odkritje LoJaxa, prvega UEFI korenskega orodja, zaznanega v resničnem računalniškem napadu, kaže, da lahko UEFI rootkiti postanejo redni del napredno računalniških napadov.
Na srečo so naši kupci zahvaljujoč ESET UEFI Scannerju v odličnem položaju, da opazijo takšne napade in se branijo pred njimi.
Zakaj je pomembno, da optično preberete vdelano programsko opremo računalnika?
Skratka, skeniranje firmware je edini način, da opazite spremembe v njem. Z vidika varnosti je poškodovana strojna programska oprema izredno nevarna, saj je težko odkriti in preživeti varnostne ukrepe, kot je ponovna namestitev operacijskega sistema in celo zamenjava trdega diska.
Vdelana programska (Firmware) oprema se lahko ogrozi v fazi izdelave računalnika ali med pošiljanjem ali s ponovnim zagonom vdelane programske opreme, če napadalec dobi fizični dostop do naprave, pa tudi, kot kaže nedavna raziskava ESET, s prefinjenim zlonamernim napadom.
Kako deluje ESET UEFI Scanner?
Običajno vdelana programska oprema (Firmware) ni dostopna varnostnim rešitvam za skeniranje, zaradi česar so varnostne rešitve zasnovane samo za optično branje diskovnih pogonov in pomnilnika. Za dostop do vdelane programske opreme je potrebno specializirano orodje - skener.
»UEFI skener« je modul v varnostnih rešitvah ESET, katerih edina funkcija je branje vsebine strojne programske opreme UEFI in omogočanje dostopa za pregled. Tako ESET UEFI Scanner omogoča ESET-ovemu običajnemu iskalniku, da preveri in uveljavi varnost okolja pred zagonom.
Skratka, ESET-ove varnostne rešitve z zmogljivostmi, ki jih spodbuja tehnologija skeniranja UEFI, so zasnovane tako, da odkrivajo sumljive ali zlonamerne komponente v programski opremi in jih prijavijo uporabniku.
Kako popraviti vašo UEFI firmware?
Ko je v programski opremi zaznana sumljiva ali zlonamerna komponenta, je uporabnik obveščen, tako da lahko sprejme ustrezne korake.
Pri enem scenariju ni nič narobe z zaznavami - sumljiva komponenta lahko na primer spada v rešitev proti kraji, ki je zasnovana za največjo možno obstojnost v sistemu.
V drugem scenariju pa ni utemeljenega razloga za odkrito prisotnost nestandardne komponente v vdelani programski opremi. V takem primeru je treba sprejeti ukrepe za sanacijo.
Na žalost ni preprostega načina za čiščenje sistema pred takšno grožnjo. Za odstranitev zlonamerne komponente je običajno treba ponovno namestiti vdelano programsko opremo. Če ponovna nastavitev UEFI ni možnost, je edina alternativa zamenjava matične plošče okuženega sistema.
Kako so raziskovalci programa ESET odkrili kampanjo z uporabo rootkita UEFI?
ESET-ovo odkritje je v celoti opisano v objavi bloga in v beli knjigi, objavljeni na varnostnem blogu družbe ESET, WeLiveSecurity.
Skratka, raziskovalci ESET, ki jih vodi Jean-Ian Boutin, ESET višji raziskovalec, so opravili veliko raziskovalno delo, ki so združili svoje poglobljeno znanje skupine Sednit APT, telemetrične podatke iz ESET-ovih sistemov za odkrivanje in predhodno odkritje s strani svojih vrstnikov Omrežje Arbor. Kot rezultat so odkrili popolnoma nov nabor orodij za kibernetske napade, vključno s prvim koreninskim sistemom UEFI.
Skupina Sednit APT - kaj je to?
Sednit, ki deluje vsaj od leta 2004 in je znan tudi kot APT28, STRONTIUM, Sofacy in Fancy Bear, je ena najbolj aktivnih skupin APT (Advanced Persistent Threat). Znano je, da takšne skupine izvajajo spletno vohunjenje in druge kibernetske napade na cilje visokega profila.
Demokratični nacionalni odbor, ki je prizadel volitve v ZDA 2016, krčenje svetovne televizijske mreže TV5Monde, uhajanje sporočil Svetovne protidopinške agencije, in mnogi drugi so delo Sednita.
Ta skupina ima raznolik nabor orodij zlonamerne programske opreme v svojem arzenalu, več primerov, ki so jih raziskovalci ESET zabeležili v svoji prejšnji beli knjigi, kot tudi v številnih objavah na spletnem mestu WeLiveSecurity. Odkritje LoJax UEFI rootkit kaže, da je skupina Sednit APT še bolj napredna in nevarna, kot se je prej mislilo, je povedal Jean-Ian Boutin, ESET Senior Malware Researcher, ki je vodil raziskavo nedavne kampanje Sednit.
V zvezi s pripisovanjem ESET ne izvaja nobene geopolitične pripisovanja. Izvajanje pripisovanja na resen, znanstveni način je občutljiva naloga, ki presega pristojnosti ESET varnostnih raziskovalcev. To, kar raziskovalci iz podjetja ESET imenujejo "skupina Sednit", je le komplet programske opreme in povezane omrežne infrastrukture, brez kakršne koli povezave s katero koli določeno organizacijo.
Ostanite korak pred ESET-om
Spletni dnevnik WeLiveSecurity
ESET-ov nagrajeni varnostni blog ima najnovejše informacije o tem in drugih odkritjih
ESET Tehnologija
Večplastna zaščita, ki združuje strojno učenje, človeško znanje, globalno obveščanje o nevarnosti