Wzrost zagrożeń związanych z Unified Extensible Firmware Interface (UEFI) jest obserwowany przez analityków bezpieczeństwa od kilku lat (w miarę jak zaczęło ono zastępować klasyczne BIOS-y), jednak dotychczas złośliwe oprogramowanie instalowało się głównie na partycji systemowej EFI znajdującej się na dysku twardym/SSD komputera. Na początku tego roku zauważono jednak, że cyberprzestępcy są w stanie posunąć się dalej i skutecznie zainfekować układ UEFI zlokalizowany na płycie głównej. Badacze bezpieczeństwa nazwali to nowe i bardzo poważne, ze względu na właściwości zagrożenie mianem „MoonBounce”.
„MoonBounce” – wirus, który będzie bardzo trudno usunąć
„MoonBounce” nie jest co prawda pierwszym złośliwym oprogramowaniem atakującym UEFI, przed nim pojawiły się chociażby „LoJax” i „MosaicRegressor”, jednak jest od nich znacznie bardziej zaawansowane. I co najważniejsze, jest w stanie zainfekować zdalnie, czego nie potrafili dokonać jego „słabsi” poprzednicy.
Nowy wirus jest bardzo przebiegły, w efekcie trudny do wykrycia i usunięcia. „Źródło infekcji zaczyna się od zestawu haków, które przechwytują wykonywanie kilku funkcji w tabeli EFI Boot Services Table” — wyjaśnia Kaspersky na swoim blogu SecureList. Owe haki są następnie wykorzystywane do przekierowywania wywołań funkcji do złośliwego kodu powłoki, który osoby atakujące dołączyły do obrazu CORE_DXE. To z kolei „ustawia dodatkowe podpięcia w kolejnych komponentach łańcucha rozruchowego, a mianowicie w programie ładującym Windows” – dodają analitycy bezpieczeństwa. Pozwala to na implementację złośliwego oprogramowania do procesu svchost.exe podczas uruchamiania komputera w systemie Windows.
Analitycy sprawdzili, jak działa to złośliwe oprogramowanie. Na zainfekowanej maszynie badacze zaobserwowali, że wirus próbuje uzyskać dostęp do adresu URL, aby pobrać z sieci kolejną partię danych i uruchomić jej zawartość w pamięci. Co ciekawe, ta część ataku wydawała się nigdzie nie prowadzić, więc nie było możliwe przeanalizowanie efektów. Być może wirus podczas wykrycia wciąż znajdował się w fazie testów, a sami hakerzy jedynie sprawdzali możliwe kierunki jego działania. Co więcej, to złośliwe oprogramowanie nie jest oparte na plikach i przynajmniej niektóre operacje wykonuje tylko w pamięci podręcznej, przez co trudno jest dokładnie zobaczyć zmiany, które wywołuje swoją aktywnością.
Jak uniknąć ataku na UEFI komputera?
Aby nie stać się ofiarą „MoonBounce” lub podobnego szkodliwego oprogramowania UEFI, eksperci sugerują zastosowanie szeregu środków ostrożności. Przede wszystkim zaleca się użytkownikom aktualizowanie oprogramowania układowego UEFI bezpośrednio od producenta, sprawdzenie, czy funkcja BootGuard jest włączona, jeśli jest dostępna na płycie głównej, a także włączanie modułów platformy Trust. Zalecane jest też oczywiście stosowanie odpowiednich programów antywirusowych, które mogą skanować UEFI w poszukiwaniu infekcji.
Źródło: TomsHardware
KOMENTARZE (0) SKOMENTUJ ZOBACZ WSZYSTKIE