Ένα νέο bootkit UEFI (Unified Extensible Firmware Interface) που ανακαλύφθηκε πρόσφατα και δεν είχε τεκμηριωθεί χρησιμοποιήθηκε από τους επιτιθέμενους για να κάνει backdoor συστήματα Windows, παραβιάζοντας το Windows Boot Manager από το 2012.
Δείτε επίσης: Πώς ένα σφάλμα coding μετατρέπει τα AirTags σε διανομείς malware
Το Bootkit είναι κακόβουλος κώδικας που έχει τοποθετηθεί στο firmware (μερικές φορές στοχεύει το UEFI) αόρατο στο λογισμικό ασφαλείας που λειτουργεί μέσα στο λειτουργικό σύστημα, αφού το malware έχει σχεδιαστεί για να φορτώνει πριν από όλα τα άλλα, στο αρχικό στάδιο της ακολουθίας εκκίνησης.
Παρέχουν στους απειλητικούς φορείς επιμονή και έλεγχο της διαδικασίας εκκίνησης λειτουργικών συστημάτων, καθιστώντας δυνατό τη σαμποτάρισμα των αμυντικών λειτουργικών συστημάτων παρακάμπτοντας τον μηχανισμό Secure Boot εάν η λειτουργία ασφάλειας εκκίνησης συστήματος δεν έχει ρυθμιστεί σωστά. Η ενεργοποίηση της λειτουργίας “thorough boot” ή “full boot” θα αποκλείσει τέτοια κακόβουλα προγράμματα όπως εξηγεί η NSA).
Το bootkit, που ονομάστηκε ESPecter από ερευνητές της ESET που το βρήκαν, επιτυγχάνει επιμονή στο EFI System Partition (ESP) των παραβιασμένων συσκευών φορτώνοντας τον δικό του ανυπόγραφο driver για να παρακάμψει το Windows Driver Signature Enforcement.
Ο κακόβουλος driver που χρησιμοποιείται σε παραβιασμένους υπολογιστές Windows χρησιμοποιείται για τη φόρτωση δύο payload (WinSys.dll και Client.dll) που μπορούν επίσης να κάνουν λήψη και εκτέλεση πρόσθετου malware.
Δείτε επίσης: Android malware έχει κλέψει χρήματα από 10 εκατομμύρια χρήστες!
Το WinSys.dll είναι ένας update agent, το component που χρησιμοποιείται για την επικοινωνία με τον command-and-control (C2) server για περαιτέρω εντολές ή περισσότερα κακόβουλα payloads.
Όπως διαπίστωσαν οι ερευνητές, το WinSys.dll μπορεί να κάνει exfiltrate πληροφορίες συστήματος, να εκκινήσει άλλα κακόβουλα προγράμματα που έχουν ληφθεί από τον C2 server, να επανεκκινήσει τον υπολογιστή χρησιμοποιώντας το ExitProcess (μόνο στα Windows Vista) και να λάβει νέες πληροφορίες configuration και να τις αποθηκεύσει στο μητρώο.
Το Client.dll, το δεύτερο payload, λειτουργεί ως backdoor με δυνατότητες αυτόματης exfiltration δεδομένων, συμπεριλαμβανομένης της καταγραφής κλειδιών, κλοπής εγγράφων και παρακολούθησης οθόνης μέσω των screenshot.
Η ESET βρήκε επίσης εκδόσεις ESPecter που στοχεύουν σε λειτουργίες εκκίνησης παλαιού τύπου και επιτυγχάνουν επιμονή με την αλλαγή του κώδικα MBR που βρίσκεται στον πρώτο φυσικό τομέα του system disk drive.
Δείτε επίσης: FinFisher malware: Μολύνει το Windows Boot Manager με bootkit UEFI
Το Secure Boot δεν βοηθά πραγματικά
Η προσαρμογή του Windows Boot Manager (bootmgfw.efi) απαιτεί να απενεργοποιηθεί το Secure Boot.
Όπως ανακάλυψαν οι ερευνητές, οι επιτιθέμενοι έχουν αναπτύξει το bootkit, πράγμα που σημαίνει ότι έχουν βρει μια μέθοδο για να απενεργοποιήσουν το Secure Boot σε στοχευμένες συσκευές. Επίσης, δεν υπάρχει καμία ένδειξη για το πως το πέτυχαν αυτό οι χειριστές του ESPecter.
Οι δημόσια τεκμηριωμένες επιθέσεις που χρησιμοποιούν bootkits είναι εξαιρετικά σπάνιες -το bootkit FinSpy που χρησιμοποιείται για τη φόρτωση spyware, το Lojax που χρησιμοποιείται από τη ρωσική ομάδα APT28, το MosaicRegressor που χρησιμοποιείται από κινεζικούς χάκερ και το module TrickBoot που χρησιμοποιείται από τη συμμορία TrickBot.
Για να προστατεύσετε τα συστήματά σας από επιθέσεις που χρησιμοποιούν bootkits όπως το ESPecter, συνιστάται να διασφαλίσετε ότι:
- Χρησιμοποιείτε πάντα την πιο πρόσφατη έκδοση firmware.
- Το σύστημά σας έχει ρυθμιστεί σωστά και το Secure Boot είναι ενεργοποιημένο.
- Εφαρμόζετε σωστά το Privileged Account Management για να αποτρέψετε την πρόσβαση των αντιπάλων σε προνομιακούς λογαριασμούς που είναι απαραίτητοι για την εγκατάσταση του bootkit.
Πηγή πληροφοριών: bleepingcomputer.com
 που ανακαλύφθηκε πρόσφατα και δεν είχε τεκμηριωθεί χρησιμοποιήθηκε από τους){kind=link}