Новый модуль TrickBot способен искать уязвимости в UEFI
3 декабря 2020 года
Разработчики ботнета TrickBot создали новый модуль, который может искать уязвимости в UEFI (Extensible Firmware Interface) — интерфейсе между операционной системой и прошивкой, управляющей низкоуровневыми функциями оборудования.
Имея доступ к прошивке UEFI, злоумышленник может установить на скомпрометированном компьютере персистентность, чтобы защититься от переустановки операционной системы или замены накопителей. Вредоносный код, внедренный в прошивку, невидим для защитных решений, работающих поверх операционной системы, потому что он загружается на самом раннем этапе загрузки компьютера. Такой код позволяет контролировать процесс загрузки операционной системы и саботировать защиту на более высоком уровне. Поскольку код выполняется на самой ранней стадии, механизм Secure Boot не помогает, так как он зависит от целостности прошивки.
В совместном отчете специалисты из Advanced Intelligence (AdvIntel) и Eclypsium, представили технические подробности нового компонента TrickBot. TrickBoot — средство разведки, проверяющее наличие уязвимостей в прошивке UEFI зараженного устройства. Пока проверка нацелена только на платформы Intel (Skylake, Kaby Lake, Coffee Lake, Comet Lake). Новый модуль проверяет, активна ли защита от записи UEFI/BIOS, с помощью драйвера RwDrv.sys от RWEverything (бесплатная утилита, обеспечивающая доступ к аппаратным компонентам.
«Все запросы к прошивке UEFI, хранящейся в микросхеме флэш-памяти SPI, проходят через контроллер SPI, который является частью семейства Platform Controller Hub (PCH) на платформах Intel. Этот контроллер SPI включает механизмы контроля доступа, которые можно заблокировать во время процесса загрузки, чтобы предотвратить несанкционированное изменение прошивки UEFI, хранящейся в микросхеме флэш-памяти SPI», — пояснили эксперты.
По словам исследователей, защита от записи BIOS/UEFI доступна на современных системах, но эта функция часто не активна или настроена неправильно, что позволяет злоумышленникам изменить прошивку или удалить ее, чтобы заблокировать устройство.
Последствия, связанные с получением злоумышленником такой персистентности на устройстве, чрезвычайно опасные, особенно в случае TrickBot. Помимо использования имплантатов UEFI в качестве рычага в переговорах по увеличению цены выкупа, киберпреступники могут сохранить доступ к машинам даже после того, как жертва заплатит им за доступ к взломанным системам.
После того как жертва завершит процессы очистки и восстановления, преступники могут воспользоваться своей персистентностью для запуска новой атаки. Они также могут похитить вновь установленные учетные данные и продать их другой группировке.
Источники[править]
Эта статья содержит материалы из статьи «Новый модуль TrickBot способен искать уязвимости в UEFI», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.