Вредоносная программа UEFI: как использовать ложное чувство безопасности

  1. Зачем беспокоиться о буткитах?
  2. Наши возможности защищать

Когда мы думаем о безопасности, мы обычно принимаем во внимание риск. Хорошо известно, что риск - это состав вероятности и потенциального воздействия.

Когда речь идет о киберугрозах, мы в ESET-LATAM Research часто видим вымогателей, банковских троянов (особенно в моей родной стране - Бразилии), бот-сетей или червей. Как следствие, другие типы опасных вредоносных программ, которые работают незаметно, могут получить меньше нашего внимания; как в случае с вредоносным ПО или буткитами.

Буткиты запускаются до загрузки ОС и целевых компонентов ОС, чтобы изменить или подорвать их поведение. Тот факт, что буткиты выполняются на ранних этапах загрузки системы, дает им возможность оставаться скрытными и настойчивыми, переживая переформатирование жесткого диска или переустановку ОС.

Этот тип угрозы предназначен для базовой системы ввода / вывода и универсального расширяемого интерфейса встроенного ПО ( BIOS и UEFI ) прошивки разными способами, такими как прошивка прошивки, обновления или использование уязвимостей, и это лишь некоторые из них. В настоящее время очень продвинутые возможности, которые делают UEFI такой привлекательной платформой, также открывают пути для новых уязвимостей, которых не было в эпоху более жестко структурированного BIOS. Например, способность запускать пользовательские исполняемые модули позволяет создавать вредоносные программы, которые будут запускаться UEFI до того, как какое-либо решение для защиты от вредоносных программ или сама ОС смогут запуститься.

Эти характеристики делают буткит яблоком передовых угроз. Несмотря на то, что концепции буткитов были реализованы на протяжении многих лет, еще в 1986 или ранее , достижения в области киберугроз создают новые проблемы и проблемы для пользователей компьютеров.

Зачем беспокоиться о буткитах?

Когда мы думаем о безопасности, мы обычно принимаем во внимание риск. Хорошо известно, что риск является составной частью вероятности и потенциального воздействия, поэтому, хотя воздействие буткита, несомненно, является значительным, что можно сказать о вероятности столкновения с такой угрозой?

Пытаясь ответить на этот вопрос, нам нужно подумать о двух проблемах: с одной стороны, мы должны определить возможных участников и сценарии, которые могут извлечь пользу из буткитов, и подумать, станут ли они более или менее распространенными в будущем; с другой стороны, мы должны оценить нашу способность обнаруживать эти угрозы, иначе «вероятность» не превзойдет все ожидания.

Чтобы определить актеров и сценарии, давайте взглянуть на прошлое чтобы увидеть наиболее заметные случаи буткит. Глядя на график, становится ясно, что угроза становится все более частой.

Mebromi, как известно, первая книга в дикой природе включает в себя руткит BIOS, руткит MBR, руткит режима ядра, файловый заражатель PE и троянский загрузчик, выполненные таким образом, что скомпрометированная система запрашивает внешний контент - который может быть практически любым вредоносным ПО - каждый раз при загрузке системы. Чтобы выполнить атаку, Mebromi повышает привилегии, загружая свой код в режиме ядра, чтобы получить доступ к BIOS.

Интересно, что по состоянию на 2014 год другие буткиты, обнаруженные в дикой природе, часто были тесно связаны с правительственным взломом (прямо или косвенно).

в АНТА АНТ каталог Раскрытие информации (2014), представила DEITYBOUNCE - программное приложение, обеспечивающее «постоянство на серверах Dell PowerEdge путем использования BIOS материнской платы и использования режима управления системой (SMM) для обеспечения периодического выполнения при загрузке операционной системы». Использование было похоже на использование Mebromi, что снова означает загрузку полезных нагрузок и запуск их в системе во время процесса загрузки.

В 2015 году это было время для «HT rkloader», выставленного после Взлом команды утечки , В отличие от АНБ, Хакерская Команда не является правительственным агентством; тем не менее, он продает наступательные вторжения и возможности наблюдения различным правительствам. В частности, «HT rkloader» был первым случаем раскрытия действительно вредоносного руткита UEFI, хотя никаких доказательств его использования в дикой природе до сих пор не было.

Неудивительно, что утечка инструментов Equation Group (NSA) со стороны Shadow Brokers выявила больше буткитов. каталог утечек инструментов содержал некоторые «имплантаты», а именно BANANABALLOT, «модуль BIOS, связанный с имплантатом (вероятно, BANANAGLEE)», и JETPLOW, «имплантат персистентности прошивки для устройств Cisco ASA и PIX, который сохраняется в BANANAGLEE».

Наконец, в этом же году ЦРУ Vault7 откровения раскрыл, что правительственные инструменты также предназначались для прошивки. Атака эксплуатировала Уязвимость S3BootScript (исправлено в 2015 году) для установки компонентов UEFI в системах Apple.

Это лишь некоторые примеры буткитов, пойманных в дикой природе, о которых мы знаем, в основном из-за крупных (и редких) утечек. Тем не менее, это показывает аппетит, который ведущие игроки имеют для продвинутых атак, направленных на прошивку.

Тем не менее, вы можете спросить себя, как это может повлиять на нашу «нормальную жизнь». Здесь мы должны снова взглянуть на прошлое и понять, что мы стоим на коварной почве. WannaCryptor (также известный как WannaCry) пандемия Это пример того, что может пойти не так, когда передовые хакерские инструменты попадут в чужие руки.

Кроме того, мы видели много случаев атаки, направленные на цепочку поставок , чтобы устройства могли заразиться даже до того, как они будут впервые использованы их потенциальными владельцами. Атака, нацеленная на цепочку поставок микропрограммного обеспечения, может затронуть многих пользователей, оставаясь при этом в течение долгого времени.

Поэтому очень важно иметь возможность обнаруживать скрытые инфекции, что подводит нас ко второму аспекту этого поста.

Наши возможности защищать

Нет ничего хуже или опаснее ложного чувства безопасности. Утечки Сноудена и вышеупомянутые случаи являются тревожными звонками для всей индустрии безопасности о вредоносном ПО во встроенном программном обеспечении.

VirusTotal, в блоге под названием « В центре внимания вредоносное ПО для прошивки », Объявила о своей новой возможности« подробно описывать образы прошивок, легальные или вредоносные ».

Когда мы думаем о безопасности, мы обычно принимаем во внимание риск

Рисунок 2: Дополнительная информация, извлеченная из образа BIOS, отображаемого в VirusTotal

По состоянию на 27 января 2016 года, в день анонса новой функции VirusTotal, стало возможным извлекать и загружать переносные исполняемые файлы UEFI для анализа, которые содержат «точно исполняемый код, который потенциально может быть источником ошибок», как заметил автор поста.

Это большой вклад в безопасность киберпространства в целом, поскольку стал доступен простой и известный интерфейс для анализа (встроенного программного обеспечения) вредоносных программ. Тем не менее, его основным недостатком является процедура захвата образов микропрограммного обеспечения перед их загрузкой для анализа.

VirusTotal предлагает несколько инструментов, способных выполнить эту задачу; однако, они в основном предназначены для компьютерных экспертов, а не для неэкспертных. Мало того, предлагаемые инструменты специально разработаны для тестовых сред по причинам, которые варьируются от расширения поверхности атаки до случайных ошибок, которые могут помешать операционной системе:

Другой вариант - выбрать решение безопасности, которое добавляет дополнительный уровень защиты от буткитов UEFI. Преимущество в этом случае заключается в том, что вы можете сканировать встроенное ПО с поддержкой UEFI, не прибегая к дополнительным инструментам, которые могут представлять опасность для системы. Поэтому обычным пользователям должно быть гораздо удобнее сканировать свой компьютер на наличие скрытых вредоносных программ во встроенном программном обеспечении.

Выводы о высокоразвитых угрозах в дикой природе, которые нацелены на прошивку, безусловно, вызывают беспокойство, особенно потому, что они работают в скрытой системе. Кроме того, обнаружение такого типа вредоносного ПО (в дикой природе) является трудным и трудным (и едва ли возможным не так давно), возможно, прививая ложное чувство безопасности во многих его жертвах.

Но у каждого облака есть серебряная подкладка. Эта бесконечная игра в кошки-мышки позволила нам лучше защитить себя.

Похожие

Как сделать заявку 300+ онлайн
... ок на хорошее начало с помощью традиционных (бумажных) средств лично в офисе / центре социальной защиты, подходящем по месту жительства или по почте, начнется 1 августа. Внимание! Заявка отправляется в электронном виде не могут быть переданы детям, помещенным в приемные семьи. Приемные семьи, люди, имеющие семейный детский дом, директора центров по
Биллинговая программа PIT 2017/2018
Содержание БЕСПЛАТНАЯ ПРОФЕССИОНАЛЬНАЯ ЯМА ПРОГРАММА! Установите или настройте свой PIT в 3 простых шага: 1. Скачайте и установите или запустите онлайн программу 2. Заполните формы простым мастером 3. Расчеты ЯМ через Интернет или распечатать и отправить по почте. Используя программу, вы можете воспользоваться поддержкой по телефону от экспертов.
Как проверить скорость ваших USB-накопителей
После прочтения моей статьи Скорость USB 3.0 Марк Голд спросил: «Как я могу проверить скорость моих USB-устройств, как 2.0, так и 3.0?» Вы можете сидеть перед компьютером с секундомером и узнать, сколько времени потребуется, чтобы переместить файл размером 100 МБ с внутреннего диска на внешний. Но это утомительно, склонно к ошибкам и не так точно. Лучше
Как настроить Аллегро? - Справочный центр Shoper®
Примечание. В связи с изменениями в Allegro с 1 апреля 2019 года адрес электронной почты с панели магазина, с вкладки « Конфигурация » -> «Основные параметры» -> «Настройки почты» также должен быть введен на панели «Allegro» на вкладке « Ваши адреса электронной почты ». Для отображения продуктов в Allegro необходимо активировать службу Allegro WebAPI в своей учетной записи. Сколько
Динамическая реклама как источник хорошего качества
Вернуться в блог Использование динамической рекламы в Google было возможно в течение длительного времени. Объявления автоматически отображаются в зависимости от содержания вашего сайта, поэтому вам не нужно включать списки ключевых фраз и заголовков объявлений при создании групп объявлений. Все, что вам нужно сделать, это предоставить некоторые параметры сайта, из которых Google будет получать содержимое заголовка текстового объявления.
Как раскрутить сайт?
... ого раз в блоге мы пытались убедить вас, насколько важен контент, размещенный на сайте. Сегодня мы опишем, как продвигать сайт и какие каналы распространения контента будут лучшими. #wiemyjak продвигать ваш сайт В записи Содержание король Мы
Фрезерный станок по дереву - посмотрите, как он работает
Прежде чем научиться пользоваться фрезерным станком, узнайте о его типах - каждый из них работает немного по-своему. Прежде всего, они делятся на одношпиндельные и многошпиндельные. Посмотрите, как работает фрезерный станок - незаменимое устройство для продвинутой и промышленной обработки древесины. Из этой статьи вы узнаете: Что такое фрезерный станок по дереву?
Как автоматически чистить временные файлы в Windows
В Windows мы находим инструмент для очистки дисков, целью которого является удаление ненужных элементов и восстановление даже части свободного пространства, но его работа может подвергаться критике. И в системе нетрудно использовать ненужные временные файлы, созданные в результате работы браузеров, установщиков или других программ. Как легко очистить наш компьютер от ненужных данных?
Как скачать Pokemon GO на Android и iPhone
Игра для смартфонов Pokémon GO в настоящее время доступна только в некоторых странах - мы не будем использовать ее, например, в Польше. Однако есть простой способ, который позволит вам быстро установить эту игру на свой телефон. Все, что вам нужно сделать, это прочитать наше руководство, в котором мы объясним, как именно загрузить Pokémon GO. Обновление - 16/07/2016 Игра теперь официально
Как изменить версию Windows 10 с 32-битной на 64-битную
Вы получили бесплатное обновление с Windows 7 или 8.1 до Windows 10, но это все еще 32-разрядная версия? Ваш компьютер поддерживает 64-битную Windows? К счастью, в случае Windows 10 наша лицензия не ограничивается одной версией - мы можем выбрать, хотим ли мы установить 32-битную или 64-битную версию. Посмотрите, как перейти с 32-разрядной версии на 64-разрядную.
Скачать Skype для Windows XP
... обы скачать Скайп для Виндовс XP, вам понадобится всего несколько минут времени"> Чтобы скачать Скайп для Виндовс XP, вам понадобится всего несколько минут времени. После этого вы сможете начать пользоваться всеми потрясающими возможностями программы. За годы своего существования разработчики программы успели порадовать своих клиентов не одной версии Скайпа. Последняя версия программы имеет много дополнительных возможностей. Они позволят вам работать в программе не только для

Комментарии

Как использовать их на сайте, чтобы убедить клиента?
Как использовать их на сайте, чтобы убедить клиента? Вы можете просто скопировать их? Ниже вы найдете советы о том, как разместить отзывы Google на веб-сайте. Приступай к работе. Репутация 2.0 Что касается того, что интернет изменил мир, вам не нужно никого убеждать. Наши привычки и способы получения информации были переформулированы. Я не удивлюсь, если со временем специалисты по наращиванию мозга объявят, что мозг обычного человека изменил свою структуру - из-за огромного количества
Может быть, у кого-то есть идея, как проверить, как часто результаты Facebook появляются в топ-10 для запросов, не связанных с брендом?
Может быть, у кого-то есть идея, как проверить, как часто результаты Facebook появляются в топ-10 для запросов, не связанных с брендом?
Я был удивлен, как мало помощи для этой программы, но, возможно, программа проще, чем кажется?
Я был удивлен, как мало помощи для этой программы, но, возможно, программа проще, чем кажется? Проект Поскольку это инструмент для анимации, я решил создать какое-то простое объявление с точкой доступа «нажмите здесь». Я хотел анимировать стрелку курсора и заставить ее отражаться от горячей точки, когда
Но как насчет таких стран, как Польша?
Но как насчет таких стран, как Польша? Где Литва, Латвия, Эстония или Украина в списке приоритетов? До сих пор Nintendo не знала об этой части Европы. Новый дистрибьютор продуктов Great N в упомянутых странах, это чешское ConQuest Entertainment, также демонстрирует огромное воздержание. И в рекламных кампаниях завершение польского сайта Nintendo ,
Как использовать новые технологии для облегчения ведения бизнеса и повышения эффективности деятельности?
Как использовать новые технологии для облегчения ведения бизнеса и повышения эффективности деятельности? Технологии и бизнес держатся за руки, укрепляя собственный потенциал. Сегодня трудно представить какой-либо бизнес без участия новых технологий, без веб-сайта, хостинга или телефония , 1. AI (искусственный интеллект). Искусственный интеллект или алгоритмы
Что оказывает наибольшее влияние на рейтинг поисковой системы и как его использовать?
Что оказывает наибольшее влияние на рейтинг поисковой системы и как его использовать? Как мне получить больше ссылок на мой сайт , которые сделают страницу выше в результатах поиска? Каковы запрещенные способы позиционирования и каков риск их наказания? Вы можете получить штраф, даже если вы случайно допустили ошибку, поэтому лучше знать, что запрещают поисковые системы. Как позиционировать страницы? Полное
Итак, какие у вас есть возможности более широко использовать местоположение Google?
Итак, какие у вас есть возможности более широко использовать местоположение Google? Сотрудничество с Google - кампании Google AdWords Многие местные компании проводят в Интернете деятельность, направленную на привлечение трафика на их сайт. Как результат - привести клиентов. Платные рекламные ссылки в поисковой системе Google, т.е. Кампании Google AdWords позволяют вам занимать высокие позиции после выбранных ключевых слов. Например, вы вводите фразу лодка hotel
Прежде всего, как мы уже упоминали, ограничение в 500 мегабайт, вероятно, слишком мало для интенсивного использования сети, верно?
Прежде всего, как мы уже упоминали, ограничение в 500 мегабайт, вероятно, слишком мало для интенсивного использования сети, верно? Тогда кто-то скажет: «Ну, я переведу SIM-карту в одну с выделенной услугой мобильного доступа». И снова правда, но ... этот шаг в свою очередь практически лишит смартфон возможности звонить или отправлять текстовые сообщения. Технически, это, конечно, будет возможно (если только оператор не допустит этого), но, вероятно, в каждой польской сотовой сети будут выставлены
Как легко очистить наш компьютер от ненужных данных?
Как легко очистить наш компьютер от ненужных данных? Хотя инструмент для очистки в системе имеет свой смысл, у него есть один недостаток - его нужно запускать вручную. Давайте будем честными - сколько раз мы действительно использовали эту функцию? И стоит позаботиться о том, чтобы очистить систему
Как этого добиться?
Как этого добиться? Есть два сообщения: хорошее и плохое. Хорошей новостью является то, что у каждого может быть хороший веб-сайт. Плохо - не каждый может это сделать. Как выбрать профессионала? Специализированные технические знания В начале стоит изучить уровень знаний подрядчика. Что искать? Для опыта в области веб-дизайна с использованием новейших инструментов и методов в этой области. Когда дело доходит до объема знаний, это должны быть знания: PHP, WordPress,
Как вы меняете обычный телевизор в Smart TV?
Как вы меняете обычный телевизор в Smart TV? Можно ли превратить обычный телевизор в Smart TV? Может быть, это очень просто - достаточно иметь один свободный разъем HDMI. Если это условие выполнено, то вам нужно будет только купить так называемые Smart TV Box аксессуар небольшого размера, обеспечивающий необходимое программное обеспечение и необходимую вычислительную мощность. Наиболее популярные

Зачем беспокоиться о буткитах?
Зачем беспокоиться о буткитах?
Как раскрутить сайт?
Из этой статьи вы узнаете: Что такое фрезерный станок по дереву?
Как легко очистить наш компьютер от ненужных данных?
До Windows 10, но это все еще 32-разрядная версия?
Ваш компьютер поддерживает 64-битную Windows?
Как использовать их на сайте, чтобы убедить клиента?
Вы можете просто скопировать их?