Неделя Безопасности 2204: Moonbounce, Вредоносный Код В Uefi

На прошлой неделе эксперты «Лаборатории Касперского» опубликовали Детальный отчет о вредоносном ПО MoonBounce. MoonBounce — это буткит: код встроен в прошивку UEFI и поэтому может пережить замену жесткого диска или полную переустановку операционной системы на ноутбуке или ПК.

Имплантат предназначен для запуска другого вредоносного кода, что, в свою очередь, приводит к получению дополнительных полезных данных из Интернета.

Сравнив поведение MoonBounce с другим вредоносным кодом и проанализировав взаимодействие с сетевой инфраструктурой, исследователи предположили, что за атакой стояла китайскоязычная группировка APT41. MoonBounce использует довольно современные методы заражения.

До этого возможность «привязаться» к прошивке UEFI на материнской плате была обнаружена только в двух других недавних атаках.

Как это часто бывает, авторы исследования не имели доступа ко всем компонентам атаки.

В частности, неизвестен точный способ заражения компьютера.

Однако некоторые косвенные признаки позволяют предположить, что модификация UEFI проводилась удаленно.

Предыдущие атаки этого типа (в частности, вредоносное ПО LowJax, описанное ESET, и атака МозаикаРегрессор ) добавьте драйверы DXE в образ прошивки.

MoonBounce действует более скрытно и модифицирует существующий компонент прошивки, меняя его поведение.

Исследователи предполагают, что для такой тонкой работы злоумышленникам необходимо было детально изучить UEFI-образ компьютера, который они планировали атаковать.

То есть речь, скорее всего, идет о гиперцелевой атаке.

Возможно, злоумышленники уже имели доступ к системе, но целью было обеспечить «перманентное заражение» компьютера.

Вот так выглядит общая схема работы импланта в UEFI прошивке.

MoonBounce реализован в компоненте прошивки CORE_DXE. Вредоносная программа начинает свою работу с перехвата функций в таблице служб загрузки EFI: AllocatePool, CreateEventEx и ExitBootServices. Это позволяет выполнить вредоносный шеллкод, добавленный в конец образа CORE_DXE. Шелл-код, в свою очередь, создает дополнительные перехватчики в последующих компонентах загрузочной цепочки, а именно в загрузчике Windows. Драйвер внедряется в адресное пространство ядра Windows и устанавливает еще одно вредоносное ПО пользовательского режима.

В конце концов этот вредоносный код обращается к серверу управления и контроля за инструкциями.

Интересной особенностью этой цепочки является то, что она не оставляет следов на жестком диске, а выполняется только в оперативной памяти.

Сама вредоносная программа UEFI была обнаружена в единственном экземпляре.

В отчете «Лаборатории Касперского» описываются другие традиционные вредоносные программы, обнаруженные в той же корпоративной сети, что и MoonBounce. Связь между ними была установлена путем анализа и сравнения сетевых ресурсов, к которым обращалась вредоносная программа, как показано на заглавном рисунке.

Также предусмотрен журнал команд, используемых злоумышленниками в процессе разведки: анализ доступных в сети устройств, подключение сетевых дисков и копирование данных с них.

MoonBounce — пример буткита, возрождение которого эксперты «Лаборатории Касперского» включили в список предсказаний на 2022 год. Существование таких изощренных атак требует адекватной защиты и обнаружения.

В частности, мы смогли найти MoonBounce благодаря инструменту Сканер прошивок в корпоративном продукте «Лаборатории Касперского».

Что еще произошло

Имена, адреса электронной почты и пароли, хешированные в MD5, стали известны.

Натали Сильванович из команды Google Project Zero опубликовано подробный отчет об уязвимости нулевого клика в платформе конференц-связи Zoom. Для теоретической атаки необходимо было использовать встроенный мессенджер, результатом чего был бы несанкционированный доступ к переговорам.

Еще один технический отчет рассказывает об ошибке в браузере Safari, которая может привести к утечке данных.

По состоянию на 17 января Apple, традиционно долгое время игнорируя сообщения об уязвимостях, приступила к решению проблемы.

Теги: #информационная безопасность #UEFI #moonbounce #bootkit

• Обзор Павильона Hp Dv4I-2100

  19 Oct, 24

• Использование Программного Обеспечения Antamedia Cyber ​​Cafe

  19 Oct, 24

• Изменения В Geektimes. Домашняя Страница

  19 Oct, 24

• От Wpf К Авалонии

  19 Oct, 24

• Запуск Скриптов Ruby Из Go Lang

  19 Oct, 24

• Я Хочу Отказаться От Услуг Роскомнадзора По Защите Меня От Информации (Онлайн). Как Это Сделать?

  19 Oct, 24

• Стеганография Посредством Фрагментации Файлов

  19 Oct, 24

• От Идей До Appstore

  19 Oct, 24

• Японя, Упячка И Т.п. "Артефакты"...

  19 Oct, 24

• Реакция Сообщества Сыграла Свою Роль — Yahoo Обновила Программу Вознаграждения За Найденные Уязвимости

  19 Oct, 24