MoonBounce, mai greu de detectat si mai persistent

de Redactie Hit.ro | 21 ianuarie 2022

 

componenta PC

Cercetatorii Kaspersky au descoperit un al treilea caz de bootkit de firmware. Numit MoonBounce, acest implant rau intentionat este ascuns in firmware-ul UEFI (Unified Extensible Firmware Interface) al unui computer, o parte esentiala a computerelor, in flash-ul SPI, o componenta de stocare din afara hard disk-ului. Astfel de implanturi sunt foarte dificil de indepartat si au o vizibilitate limitata pentru produsele de securitate. Aparand pentru prima data in wild in primavara anului 2021, MoonBounce demonstreaza un flux de atac sofisticat, cu progrese evidente in comparatie cu bootkit-urile firmware UEFI raportate anterior. Cercetatorii Kaspersky au atribuit atacul cu un grad de credibilit bine-cunoscutului actor APT41, APT41.

 

Firmware-ul UEFI este o componenta critica in majoritatea echipamentelor; codul sau fiind cel care porneste dispozitivele si transfera controlul catre software-ul care incarca sistemul de operare. Acest cod se afla in ceea ce se numeste flash SPI, un mediu de stocare nevolatil, in afara hard disk-ului. Daca acest firmware contine cod rau intentionat, atunci acest cod va fi lansat inainte de sistemul de operare, ceea ce face ca malware-ul implantat de un bootkit de firmware sa fie deosebit de dificil de sters; nu poate fi eliminat pur si simplu prin reformatarea unui hard disk sau reinstalarea unui sistem de operare. Mai mult, deoarece codul este situat in afara hard disk-ului, activitatea unor astfel de bootkit-uri ramane, practic, nedetectata de majoritatea solutiilor de securitate, cu exceptia cazului in care au o functie care scaneaza in mod specific aceasta parte a dispozitivului.

 

MoonBounce este doar al treilea bootkit UEFI raportat, descoperit in wild. A aparut in primavara anului 2021 si a fost detectat pentru prima data de cercetatorii Kaspersky cand analizau activitatea Firmware Scanner-ului lor, care a fost inclus in produsele Kaspersky de la inceputul lui 2019 pentru a detecta in mod specific amenintarile care se ascund in BIOS-ul ROM, inclusiv imaginile firmware UEFI. In comparatie cu cele doua bootkit-uri descoperite anterior, LoJax si MosaicRegressor, MoonBounce a facut progrese semnificative, cu un flux de atac mai complicat si o tehnica mult mai sofisticata.

 

Implantul se afla in componenta CORE_DXE a firmware-ului care este apelata devreme pe parcursul secventei de pornire UEFI. Apoi, printr-o serie de actiuni de tip hooks, care intercepteaza anumite functii, componentele implantului isi fac drum in sistemul de operare, de unde comunica cu un server de comanda si control pentru a adduce si mai multe incarcaturi utile rau intentionate. Este de remarcat faptul ca lantul de infectie in sine nu lasa urme pe hard disk, deoarece componentele sale functioneaza doar in memorie, facilitand astfel un atac fara fisiere cu o amprenta redusa.

 

Analizand MoonBounce, cercetatorii Kaspersky au descoperit mai multe loader-e rau intentionate si programe malware post-exploatare in mai multe noduri ale aceleiasi retele. Acestea includ ScrambleCross sau Sidewalk, un implant in memorie care poate comunica cu un server C2 pentru a face schimb de informatii si a executa plugin-uri suplimentare, Mimikat_ssp, un instrument de post-exploatare disponibil public, folosit pentru a descarca acreditarile si secretele de securitate, un backdoor necunoscut anterior bazat pe Golang, si Microcin, malware care este folosit de obicei de actorul de amenintari SixLittleMonkeys.

 

Vectorul exact de infectie ramane necunoscut, totusi, se presupune ca infectia are loc prin acces de la distanta la echipamentul vizat. In plus, in timp ce LoJax si MosaicRegressor au folosit adaugari de drivere DXE, MoonBounce modifica o componenta firmware existent, pentru un atac mai subtil si mai ascuns.

 

In campania generala impotriva retelei in cauza, a fost evident ca atacatorii au efectuat o gama larga de actiuni, cum ar fi arhivarea fisierelor si strangerea de informatii despre retea. Comenzile folosite de atacatori pe parcursul activitatii lor sugereaza ca erau interesati de miscarea laterala si de exfiltrarea datelor si, avand in vedere ca a fost folosit un implant UEFI, este probabil ca atacatorii au fost interesati sa desfasoare activitati de spionaj.

 

Cercetatorii Kaspersky au atribuit MoonBounce cu un grad considerabil de incredere atacatorului APT41, cunoscut actor vorbitor de limba chineza si care a derulat campanii de spionaj cibernetic si criminalitate cibernetica in intreaga lume cel putin din anul 2012. In plus, existenta unora dintre programele malware mentionate mai sus in aceeasi retea sugereaza o posibila conexiune intre APT41 si alti actori de amenintare vorbitori de limba chineza.

Pana acum, bootkit-ul firmware-ului a fost gasit doar intr-un singur caz. Cu toate acestea, alte mostre afiliate rau intentionate (de exemplu, ScrambleCross si loaderele sale) au fost gasite in retelele altor catorva victime.

 

Desi nu putem conecta cu certitudine implanturile de malware suplimentare gasite in timpul cercetarii noastre cu MoonBounce, se pare ca unii actori de amenintari vorbitori de limba chineza se ajuta reciproc cu instrumente in diferitele lor campanii; se pare ca exista o conexiune de incredere scazuta intre MoonBounce si Microcin”, sustine Denis Legezo, cercetator senior GReAT.

 

Acest ultim bootkit UEFI prezinta aceleasi progrese notabile in comparatie cu MosaicRegressor, despre care am raportat inca din 2020. De fapt, transformarea unei componente de baza anterior benigne din firmware intr-una care poate facilita implementarea malware-ului in sistem este o inovatie care nu a fost vazuta pana acum, in bootkit-uri firmware comparabile si face amenintarea mult mai greu de detectat. Am prezis inca din 2018 ca amenintarile UEFI vor castiga in popularitate, iar aceasta tendinta pare sa se materializeze. Nu am fi surprinsi sa gasim alte bootkit-uri in 2022. Din fericire, vanzatorii au inceput sa acorde mai multa atentie atacurilor de firmware, iar mai multe tehnologii de securitate a firmware-ului, cum ar fi BootGuard si Trusted Platform Modules, sunt adoptate treptat”, comenteaza Mark Lechtik, cercetator senior Global Research and Analysis Team (GReAT) la Kaspersky.

 

Pentru mai multe detalii despre analiza MoonBounce, raportul complet este disponibil pe Securelist.

Pentru a ramane protejat in ceea ce priveste bootkit-urile UEFI precum MoonBounce, Kaspersky recomanda:

  • Oferiti echipei dumneavoastra SOC acces la cele mai recente informatii despre amenintari (TI). Kaspersky Threat Intelligence Portal este un singur punct de acces pentru TI al companiei, oferind date si informatii despre atacurile cibernetice adunate de Kaspersky de-a lungul a peste 20 de ani.

  • Pentru detectarea la nivel endpoint, investigarea si remedierea in timp util a incidentelor, implementati solutii EDR, cum ar fi Kaspersky Endpoint Detection and Response.

  • Utilizati un produs complex de securitate pentru nivelul endpoint, care sa poata detecta utilizarea firmware-ului, cum ar fi Kaspersky Endpoint Security for Business.

  • Actualizati in mod regulat firmware-ul UEFI si utilizati numai firmware de la furnizori de incredere.

  • Activati Secure Boot in mod implicit, in special BootGuard si TPM-urile, acolo unde este cazul.

 

Recomanda   afisari

spacer
spacer
Articole similare
spacer
Opiniile cititorilor
spacer

Recomanda pe Google