Takiego zagrożenia jeszcze nie było: LoJax atakuje UEFI, wymiana dysku nie pomoże

Takiego zagrożenia jeszcze nie było: LoJax atakuje UEFI, wymiana dysku nie pomoże27.09.2018 12:00

Rok 2018 przyniósł sporo nowych odkryć, a wśród nich wyjątkowo interesujące zagrożenie LoJax. Wyróżnia się ono na tle innych, gdyż jest to pierwszy w historii atak na UEFI, który udało się zaobserwować w akcji.

LoJax to rootkit, który zagnieżdża się w UEFI (następcy BIOS-u) i z tego poziomu może wprowadzać zmiany w systemie operacyjnym. Wykorzystuje on zainfekowany program chroniący komputery przed kradzieżą LoJack firmy Absolute Software (wcześniejsza wersja nazywała się Computrace). Rozwiązanie to jest fabrycznie wykorzystywane przez niektórych producentów laptopów i można je włączyć w ustawieniach UEFI. Program ten umieszcza trwały moduł w programowaniu płyty głównej. Po uruchomieniu systemu operacyjnego do środowiska użytkownika przenoszony jest proces, który „zadzwoni do domu” – skontaktuje się z serwerami Absolute Software. To z kolei umożliwia zdalne zablokowanie komputera po kradzieży, wyczyszczenie danych i odnalezienie sprzętu, nawet jeśli dysk został sformatowany lub wymieniony. To samo dotyczy niestety rootkitu LoJax. Oryginalny LoJack został zabezpieczony w maju tego roku.

Ustawienia Computrace w oprogramowaniu jednego z ThinkPadów, źródło: Eset
Ustawienia Computrace w oprogramowaniu jednego z ThinkPadów, źródło: Eset

Prawdziwy LoJack odnajdzie partycję systemową i podmieni narzędzie autochk.exe tak, by przy uruchomieniu systemu dodana została usługa systemowa rpcnetp.exe. Ten proces z kolei upewni się, że działa odpowiedni program, łączący się z serwerami Absolute Software. Jeśli nie, wstrzyknie kod do procesów systemowych, w tym Internet Explorera, by na komputer pobrane zostały odpowiednie komponenty. Mechanizm ten jest o tyle interesujący, że zwykle takie zabiegi przeprowadzają szkodliwe programy, a nie godne zaufania narzędzia zabezpieczające. Ponieważ LoJack jest dobrze znanym w branży narzędziem, programy antywirusowe przymykały oko na te zachowania.

W maju pojawiły się pierwsze próbki procesu agenta rpcnetp.exe LoJacka ze złośliwym kodem. Zamiast z serwerami Absolute Software, łączyły się z domeną atakujących, zmieniony został też harmonogram połączeń. Cyberprzestępcy wykorzystali tu fakt, że adres serwera kontrolującego został na stałe zapisany w kodzie i zaszyfrowany dość prostym szyfrem (XOR z jednoznakowym kluczem). Przygotowanie szkodliwej wersji wymagało minimalnych zmian, liczących kilkadziesiąt bajtów, dzięki czemu agent był niemal nie do odróżnienia od oryginału i wiele antywirusów nie zwracało na niego uwagi.

LoJack po lewej, zmodyfikowany LoJax po prawej, źródło: Eset
LoJack po lewej, zmodyfikowany LoJax po prawej, źródło: Eset

To jednak nie koniec ataku. Poza zmodyfikowanym agentem specjaliści znaleźli też narzędzie odczytujące firmware oraz zdolne odczytać i nadpisać zawartość pamięci SPI Flash. Odkrycie info_efi.exe było pierwszą wskazówką, że może istnieć permanentny moduł UEFI, będący częścią zagrożenia LoJax. Ostatnim elementem układanki był program ReWriter_binary.exe, którego celem było zmodyfikowanie i nadpisanie firmware'u komputera na podstawie zdobytego wcześniej obrazu. Umieszczony tam malware poszukuje zapisów dotyczących sterowników DXE i zamienia je na szkodliwe. Jeśli to możliwe, nadpisuje zmodyfikowany firmware. Na koniec obraz UEFI jest ponownie odczytywany i sprawdzana jest jego poprawność. Na partycji NTFS lądują pliki rpcnetp.exe i autoche.exe, a w rejestrze zmieniany jest wpis, by uruchomić drugi z nich przy starcie systemu Windows.

LoJax, schemat działania, źródło: Eset
LoJax, schemat działania, źródło: Eset

LoJax został prawdopodobnie opracowany przez dobrze znaną grupę Sednit (APT28, Sofacy, Strontium albo Fancy Bear), stojącą między innymi za atakiem na Departament Sprawiedliwości USA i znanej ze sporego wachlarza szkodliwych narzędzi. Wskazuje na to fakt, że serwery Command & Control, z którymi się łączy, były używane we wcześniejszych kampaniach grupy. LoJax występował też w parze z innymi typami malware, używanymi przez Sednit.

LoJax został odkryty i przeanalizowany w laboratorium Eseta. Badaczom udało się zdobyć kilka próbek, a analiza telemetrii wykazała, że był on używany dość rzadko. Celami były głównie maszyny rządowe na Bałkanach, w Europie środkowej i wschodniej. Według specjalistów z firmy jest to najważniejsze odkrycie w tym roku nie tylko wśród nich, ale i w całej branży cyberbezpieczeństwa. Według analityków Eseta przed atakiem tego typu może obronić nas włączony Secure boot, sprawdzający sygnatury wszystkich komponentów firmware'u. Sporo zależy też od producentów płyt głównych, którzy konfigurują zabezpieczenia.

Pomysł atakowania UEFI nie jest oczywiście nowy. Specjaliści opisywali takie ataki jak rootkit rkloader i implant uruchamiania Vault7, mający atakować komputery firmy Apple z EFI i UEFI. Grupa Sednit używała 5 lat temu podobnego mechanizmu do instalacji bootkitu Downdelph, ale ten atak nie jest już możliwy dzięki poprawkom w zabezpieczeniach UEFI. LoJax jednak jest pierwszym zagrożeniem, które wyszło poza teorię i skutecznie zaatakowało komputery. Znane są przynajmniej 2 przypadki maszyn, gdzie rootkit został zainstalowany także w UEFI.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na