تحویل بدافزار از طریق UEFI Bootkit با MosaicRegressor

تحویل بدافزار از طریق UEFI Bootkit با MosaicRegressor

به تازگی، محققان کسپرسکی یک حمله هدفمند پیچیده را کشف کرده اند که هدف آن موسسات دیپلماتیک و سازمان های غیردولتی در آسیا، اروپا و آفریقا بوده است. تا آنجا که آنها تعیین کرده اند، تمام قربانیان از طریق یک روش یا روش های دیگر به کره شمالی متصل بوده اند ، چه از طریق فعالیت های غیر انتفاعی یا روابط دیپلماتیک.

مهاجمان از یک چارچوب جاسوسی سایبری پیشرفته ماژولار استفاده کردند که محققان کسپرسکی آن را MosaicRegressor می نامند. تحقیقات ما نشان داده است که در برخی موارد این بدافزار از طریق UEFI اصلاح شده وارد رایانه قربانیان می شود، این یک اتفاق بسیار نادر است. با این حال، در بیشتر موارد، مهاجمان از روش “فیشینگ” نیزه استفاده می کردند که این روش سنتی است.

UEFI چیست و چرا bootkit خطرناک است؟

UEFI، مانند BIOS (که جایگزین آن می شود) نرم افزاری است که درست هنگام شروع کار کامپیوتر، حتی قبل از راه اندازی سیستم عامل، قابل اجرا است. علاوه بر این، این حافظه نه بر روی هارد دیسک، بلکه بر روی تراشه مادربرد ذخیره می شود. اگر مجرمان سایبری کد UEFI را اصلاح کنند، می توانند به طور بالقوه از آن برای تحویل بدافزار به سیستم قربانی استفاده کنند.

این دقیقاً همان چیزی است که کسپرسکی در کمپین توصیف شده در بالا یافته است. علاوه بر این، مهاجمان در ایجاد میان افزار UEFI اصلاح شده خود، از کد منبع VectorEDK، بوت کیت Hacking Team که به صورت آنلاین درز کرده بود، استفاده کردند. اگرچه کد منبع از سال 2015 در دسترس عموم قرار گرفت، این اولین مدرکی است که از استفاده آن توسط مجرمان سایبری دیده ایم.

هنگام شروع سیستم، bootkit پرونده مخرب IntelUpdate.exe را در پوشه راه اندازی سیستم قرار می دهد. اجزای سازنده یکی دیگر از اجزای MosaicRegressor را بر روی رایانه بارگیری و نصب می کند. با توجه به جزیره ای بودن نسبی UEFI، حتی در صورت شناسایی این پرونده مخرب، حذف تقریباً غیرممکن است. نه حذف آن و نه نصب مجدد سیستم عامل کمکی نمی کند. تنها راه حل این مشکل این است که مادربرد را دوباره راه اندازی کنید.

MosaicRegressor چگونه خطرناک است؟

مولفه های MosaicRegressor که آن را به کامپیوترهای قربانیان (از طریق یک UEFI یا فیشینگ هدفمند) به سرورهای C&C آنها متصل شده، ماژول های اضافی را بارگیری کرده و آنها را اجرا می کند. بعد، از این ماژول ها برای سرقت اطلاعات استفاده شد. به عنوان مثال، یکی از آنها اسنادی را که اخیراً باز کرده است برای مجرمان اینترنتی ارسال کرده است.

مکانیسم های مختلفی برای برقراری ارتباط با سرورهای C&C مورد استفاده قرار گرفت: کتابخانه cURL (برای HTTP / HTTPS) ، رابط سرویس انتقال هوشمند زمینه (BITS) ، رابط برنامه نویسی WinHTTP و سرویس های پستی عمومی که از پروتکل POP3S ، SMTPS یا IMAPS استفاده می کنند .

این پست Securelist تجزیه و تحلیل فنی دقیق تری از چارچوب مخرب MosaicRegressor، همراه با شاخص های سازش ارائه می دهد.

چگونه می توان از خود در برابر MosaicRegressor محافظت کرد

برای محافظت در برابر MosaicRegressor، اولین تهدید برای خنثی کردن، حمله فیشینگ است که به این ترتیب حملات پیچیده آغاز می شود. برای حداکثر حفاظت از رایانه کارمندان، توصیه می کنیم از ترکیبی از محصولات امنیتی با فن آوری و آموزش پیشرفته ضد فیشینگ برای افزایش آگاهی کارکنان در مورد حملات این نوع استفاده کنید.

راه حل های امنیتی کسپرسکی ماژول های مخربی را که وظیفه سرقت اطلاعات دارند، شناسایی می کنند.

در مورد سیستم عامل به خطر افتاده، متأسفانه ما دقیقاً نمی دانیم که bootkit چگونه به رایانه قربانیان راه یافت. بر اساس اطلاعات نشتی HackingTeam، مهاجمان احتمالاً به دسترسی فیزیکی احتیاج داشتند و از یک درایو USB برای آلوده کردن ماشین ها استفاده می کردند. با این حال، سایر روش های سازش با UEFI را نمی توان رد کرد.

برای محافظت در برابر bootkit MosaicRegressor UEFI:

وب سایت سازنده رایانه یا مادربرد خود را بررسی کنید تا ببینید آیا سخت افزار شما از Intel Boot Guard پشتیبانی می کند یا خیر، که از اصلاح غیرمجاز سیستم عامل UEFI جلوگیری می کند.

برای جلوگیری از نصب بوت کیت در بارگیری، از رمزگذاری کامل دیسک استفاده کنید.

از راه حل های امنیتی قابل اعتماد استفاده کنید که می توانند تهدیدهای از این دست را اسکن و شناسایی کند. از سال 2019، محصولات کسپرسکی قادر به جستجوی تهدیدهای پنهان شده در سیستم عامل ROM BIOS و UEFI هستند. در حقیقت، فناوری اختصاصی Firmware Scanner ما در ابتدا این حمله را شناسایی کرد.

منبع: https://www.kaspersky.com/blog

پیام بگذارید

آدرس ایمیل شما منتشر نخواهد شد.