Nuevo UEFI Bootkit utilizado para crear backdoor en dispositivos Windows

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los atacantes han utilizado un UEFI bootkit (Interfaz de firmware extensible unificada) recién descubierto y previamente indocumentado para hacer puertas traseras (backdoor) a los sistemas Windows mediante el secuestro del Administrador de arranque de Windows desde 2012.

Los bootkits son códigos maliciosos instalados en el firmware (a veces dirigidos a UEFI) invisibles para el software de seguridad que se ejecuta dentro del sistema operativo, ya que el malware está diseñado para cargarse antes que todo lo demás, en la etapa inicial de la secuencia de arranque.

Proporcionan a los actores de amenazas persistencia y control sobre el proceso de arranque de un sistema operativo, lo que hace posible sabotear las defensas del sistema operativo sin pasar por el mecanismo de arranque seguro si el modo de seguridad de arranque del sistema no está configurado correctamente. Habilitar el modo de 'arranque completo' o 'arranque completo' bloquearía dicho malware, como explica la NSA.

Persistencia en la partición del sistema EFI

El bootkit, denominado ESPecter por los investigadores de ESET que lo encontraron, logra la persistencia en la partición del sistema EFI (ESP) de los dispositivos comprometidos al cargar su propio controlador sin firmar, para omitir la aplicación de la firma del controlador de Windows.

"Se encontró ESPecter en una máquina comprometida junto con un componente de cliente en modo de usuario con funciones de registro de teclas y robo de documentos, por lo que creemos que ESPecter se usa principalmente para espionaje", dijeron los investigadores de seguridad de ESET Martin Smolár y Anton Cherepanov.

"Curiosamente, rastreamos las raíces de esta amenaza al menos hasta 2012, que anteriormente funcionaba como un kit de arranque para sistemas con BIOS heredados".

El controlador malicioso implementado en computadoras Windows comprometidas se usa para cargar dos cargas útiles (WinSys.dll y Client.dll) que también pueden descargar y ejecutar malware adicional.

WinSys.dll es un agente de actualización, el componente que se utiliza para comunicarse con el servidor de comando y control (C2) para obtener más comandos o cargas útiles más maliciosas.

Como descubrieron los investigadores, WinSys.dll puede filtrar información del sistema, lanzar otro malware descargado del servidor C2, reiniciar la PC usando ExitProcess (solo en Windows Vista) y obtener nueva información de configuración y guardarla en el registro.

Client.dll, la segunda carga útil, actúa como una puerta trasera con capacidades de exfiltración automática de datos, incluido el registro de teclas, el robo de documentos y el monitoreo de la pantalla a través de capturas de pantalla.

ESET también encontró versiones de ESPecter que apuntan a los modos de arranque heredados y logran la persistencia al alterar el código MBR que se encuentra en el primer sector físico de la unidad de disco del sistema.

El arranque seguro realmente no ayuda

Parchear el Administrador de arranque de Windows (bootmgfw.efi) requiere que el Arranque seguro (que ayuda a verificar si la PC arranca con un firmware confiable) esté deshabilitado.

Como descubrieron los investigadores, los atacantes han implementado el bootkit en la naturaleza, lo que significa que han encontrado un método para desactivar el arranque seguro en dispositivos específicos.

Aunque en este momento no hay indicios de cómo los operadores de ESPecter lograron esto, hay algunos escenarios posibles:

    - El atacante tiene acceso físico al dispositivo (conocido históricamente como un ataque de "evil maid") y deshabilita manualmente el arranque seguro en el menú de configuración del BIOS (es común que el menú de configuración del firmware todavía esté etiquetado y se denomine "BIOS setup menu", incluso en sistemas UEFI).

    - El Arranque seguro ya estaba deshabilitado en la máquina comprometida (p. Ej., Un usuario puede hacer un arranque dual de Windows y otros sistemas operativos que no son compatibles con el Arranque seguro).

    - Explotación de una vulnerabilidad de firmware UEFI desconocida que permite deshabilitar el arranque seguro.

    - Explotación de una vulnerabilidad de firmware UEFI conocida (por ejemplo, CVE-2014-2961, CVE-2014-8274 o CVE-2015-0949) en el caso de una versión de firmware obsoleta o un producto que ya no es compatible.

Los ataques documentados públicamente que utilizan bootkits en la naturaleza son extremadamente raros: el kit de arranque FinSpy utilizado para cargar software espía, Lojax desplegado por el grupo de hackers APT28 respaldado por Rusia, MosaicRegressor utilizado por hackers de habla china y el módulo TrickBoot utilizado por la pandilla TrickBot.

"ESPecter muestra que los actores de amenazas se basan no solo en los implantes de firmware UEFI cuando se trata de la persistencia previa al SO y, a pesar de los mecanismos de seguridad existentes como UEFI Secure Boot, invierten su tiempo en la creación de malware que sería fácilmente bloqueado por tales mecanismos, si está habilitado y configurado correctamente".

Se pueden encontrar más detalles técnicos sobre el kit de arranque ESPecter y los indicadores de compromiso en el informe de ESET:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta