Вредонос на материнке
Эксперты компании ESET обнаружили первый руткит, который пытается атаковать UEFI целевого компьютера.
UEFI — это интерфейс между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования. Его основное предназначение — корректно инициализировать оборудование при включении системы и передать управление загрузчику ОС.
Вероятность руткитов, нацеленных на UEFI, обсуждалась в течение нескольких лет. Вредоносная программа, записывающаяся во Flash-память материнской платы и способная устойчиво там храниться, — это более чем существенная проблема, поскольку обнаружить и устранить ее традиционными методами не получится: такой руткит будет сидеть на самом низком уровне, куда не дотянутся даже специализированные противоруткитные средства.
На данный момент от подобной атаки защищают режим безопасной загрузки Windows и регулярное обновление UEFI.
На самом низком уровне
До недавнего времени UEFI-руткиты не удавалось обнаружить в реальных киберкампаниях. Теперь такой руткит обнаружен. Этот инструмент, как установили эксперты ESET, используется русскоязычной группировкой Sednit (также известной как APT28, Fancy Bear и Sofacy).
Сам по себе руткит носит наименование LoJax — по сути это модифицированная версия разработки Absolute Software LoJack, которая позволяет владельцам украденных ноутбуков получить удаленный доступ к своим данным, не вызывая подозрений у воров, и выяснить местоположения похищенного устройства.
При каждом перезапуске системы код LoJack исполняется еще до того, как загружается операционная система и антивирусы. И даже при замене жесткого диска программа продолжит исправно функционировать.
LoJax построен на базе уязвимой версии LoJack, у которой конфигурационный модуль был защищён очень слабо. Эта уязвимость позволила операторам Sednit изменить единственный байт, который в легитимном ПО содержит информацию о доменах, с которых LoJack скачивает необходимые компоненты.
В случае LoJax этот байт содержит информацию о контрольном домене APT-кампании, с которого скачивается сам руткит.
В целом атака начинается вполне типично — с фишингового письма (или чего-то подобного); объекту атаки предлагается скачать и запустить некий исполняемый файл, на поверку оказывающийся дроппером (rpcnetp.exe). Этот дроппер обращается к браузеру Internet Explorer и через него — к доменам Sednit. Оттуда уже закачивается непосредственно сам руткит, который устанавливается во флэш-память SPI. После этого, избавиться от него можно только либо с помощью перепрошивки памяти, либо с помощью смены материнской платы.
«Речь идет о максимально низкоуровневой атаке, которая позволяет обеспечивать операторам APT-кампании неограниченно долгое присутствие в инфраструктуре объекта атаки, — полагает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — Ни обнаружить такой руткит, ни тем более избавиться от него традиционными методами не получится.
Поделиться