ESET opdager det første UEFI-rootkit-cyberangreb nogensinde

UEFI-rootkits – fra teori til reel trussel

UEFI rootkits image

UEFI-rootkits, hackernes hellige gral, var længe frygtet, men ingen blev nogensinde set i det fri – indtil ESET opdagede en kampagne fra den berygtede Sednit APT-gruppe. Nogle UEFI-rootkits er blevet præsenteret på sikkerhedskonferencer som begrebsafprøvning. Det er velkendt, at nogle har været til rådighed for statslige organer. Men indtil august 2018 var der ikke detekteret UEFI-rootkits i et ægte cyberangreb.

Ovennævnte Sednit-kampagne brugte et UEFI-rootkit, som ESET-forskere kaldte LoJax. ESET's analyse af kampagnen er beskrevet i detaljer i hvidbogen "LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group". Du kan finde flere oplysninger om UEFI-relateret sikkerhed på ESET's sikkerhedsblog WeLiveSecurity.

Sikkerhedsrisici ved firmware, UEFI, rootkits

Den computerkode, der starter, lige efter computeren er tændt, og som har den ultimative magt over computerens operativsystem (og dermed hele maskinen) kaldes firmware. Standarden for – se på det som et sæt regler – hvordan firmwaren opfører sig, kaldes UEFI (dens forgænger blev kaldt BIOS). Firmware og UEFI er ofte forbundet med hinanden og kaldes UEFI-firmware.

Et rootkit er en farlig malware, der er designet til at få "ulovlig" og vedvarende adgang til det, der ellers ikke er tilladt. Typisk maskerer et rootkit også sin eksistens eller eksistensen af anden malware.

Lær mere

Et UEFI-rootkit er et rootkit, der skjuler sig i firmware, og der er to grunde til, at denne type rootkit er ekstremt farlig. For det første er UEFI-rootkits meget vedholdende, i stand til at overleve en computers genstart, geninstallation af operativsystemet og endda udskiftning af harddisk. For det andet er de svære at detektere, fordi firmwaren normalt ikke inspiceres for kodeintegritet. ESET's sikkerhedsløsninger, der indeholder et dedikeret beskyttelseslag, ESET UEFI Scanner, er en undtagelse.

Firmware, UEFI, rootkits image

Ondsindet UEFI-firmware er et mareridt for alle, der beskæftiger sig med IT-sikkerhed, meget skadelig og vanskelig at detektere

Jean-Ian Boutin, ESET-seniorforsker af malware

Sådan beskytter ESET mod ondsindet UEFI-firmware

ESET er den eneste større internetsikkerhedsudbyder, der har tilføjet et dedikeret lag, ESET UEFI Scanner, der er designet til at detektere ondsindede komponenter i firmwaren.

ESET UEFI Scanner er et værktøj, der gør firmware tilgængelig for scanning. Efterfølgende scannes firmwarens kode af teknologier til detektion af malware. ESET's kunder kan scanne deres computers firmware regelmæssigt eller efter behov. De fleste af detektioner kategoriseres som potentielt usikre applikationer – en kode, der har bred magt over systemet og derfor kan misbruges. Den samme kode kan være helt legitim, hvis brugeren eller en administrator kender dens tilstedeværelse, eller den kan være ondsindet, hvis den blev installeret uden deres viden og samtykke.

Lær mere

Siden opdagelsen af det første cyberangreb ved hjælp af et UEFI-rootkit, kan ESET-kunder, der er udstyret med ESET UEFI Scanner, naturligvis også detektere disse ondsindede modifikationer og er dermed i en fremragende position til at beskytte sig selv.

Med hensyn til afhjælpning er det uden for en typisk brugers rækkevidde. I princippet vil geninstallation på chippen af en ren firmware altid hjælpe. Hvis dette ikke er muligt, er den eneste resterende mulighed at udskifte computerens bundkort.

Ofte stillede spørgsmål

ESET er den eneste leverandør af slutpunktssikkerhed, som beskytter mod cyberangreb med UEFI-rootkit, ikke?

Er det sandt, at ESET er den eneste leverandør af sikkerhedsløsninger til slutpunkter, hvis kunder kan få deres UEFI-firmware scannet for ondsindede komponenter? Hvis dette er tilfældet, hvorfor har ESET's konkurrenter så ikke etableret en sådan teknologi?

ESET er den eneste leverandør blandt de 20 førende leverandører af sikkerhedsløsninger til slutpunkter ifølge omsætning, der forsyner brugerne med en UEFI-scanningsteknologi, som er implementeret i løsningerne til beskyttelse af slutpunkter. Måske har visse andre leverandører teknologier med "UEFI" i deres titel, men deres mål er ikke det samme som den funktion, en ægte firmwarescanner bør udføre.

Med hensyn til årsagen til, at ESET er den eneste leverandør på sit område, der sikrer sine kunders UEFI-firmware, illustrerer dette ESET's ansvarlige tilgang til beskyttelse. Ja, angreb, der faciliteres af UEFI-firmware, er sporadiske og har indtil videre for det meste været begrænset til fysisk manipulation af målcomputeren. Men hvis et sådant angreb lykkes, ville det føre til total kontrol over maskinen med næsten fuldstændig persistens. Så ESET har besluttet at investere sine ressourcer i evnen til at beskytte sine kunder mod angreb, der faciliteres af UEFI-firmware.

Den nylige opdagelse af LoJax, som er det første UEFI-rootkit opdaget i et ægte computerangreb nogensinde, viser, at UEFI-rootkits desværre kan blive en regelmæssig del af avancerede computerangreb.

Heldigvis er vores kunder takket være ESET UEFI Scanner i en fremragende position til at spotte sådanne angreb og forsvare sig mod dem.

Hvorfor er det vigtigt at scanne computerens firmware?

Kort sagt er scanning af firmwaren den eneste måde at spotte ændringer i den. Fra en sikkerhedsmæssig synsvinkel er den beskadigede firmware ekstremt farlig, da den er svær at opdage og i stand til at overleve sikkerhedsforanstaltninger såsom geninstallation af operativsystem og endda en udskiftning af harddisk.

Firmware kan blive kompromitteret på dette trin i fremstillingen af computeren eller under forsendelsen eller via geninstallation af firmwaren, hvis angriberen får fysisk adgang til enheden, men også som den seneste ESET-forskning viser via et avanceret malwareangreb.

Hvordan fungerer ESET UEFI Scanner?

Normalt har sikkerhedsløsninger ikke adgang til at scanne firmwaren, og derfor er sikkerhedsløsninger kun designet til at scanne diskdrev og hukommelse. For at få adgang til firmwaren skal der bruges et specialiseret værktøj – en scanner.

"UEFI-scanneren" er et modul i ESET-sikkerhedsløsninger, hvis eneste funktion er at læse indholdet af UEFI-firmwaren og gøre den tilgængelig for inspektion. Derfor gør ESET UEFI Scanner det muligt for ESET's almindelige scanningsprogram at kontrollere og håndhæve sikkerheden i førbootmiljøet.

Samlet set er ESET's sikkerhedsløsninger med kapaciteter, der boostes af UEFI-scanningsteknologien, designet til at detektere mistænkelige eller ondsindede komponenter i firmwaren og rapportere dem til brugeren.

Hvordan reparerer du din UEFI-firmware?

Når en mistænkelig eller ondsindet komponent detekteres i firmwaren, får brugeren besked, så de rigtige foranstaltninger kan træffes.

I ét scenario er der intet galt med detektionerne – den mistænkelige komponent kan f.eks. tilhøre en antityveriløsning, der er designet til højst mulig persistens i systemet.

I et andet scenario er der derimod ingen legitim grund til den opdagede ikke-standardkomponents tilstedeværelse i firmwaren. I så fald skal der træffes afhjælpende foranstaltninger.

Desværre er der ingen nemme måder at rense systemet for en sådan trussel. Normalt skal firmwaren geninstalleres for at fjerne den ondsindede komponent. Hvis geninstallation af UEFI'en ikke er muligt, er den eneste anden mulighed at skifte bundkortet med det inficerede system.

Hvordan opdagede ESET-forskerne kampagnen ved hjælp af UEFI-rootkittet?

ESET's opdagelse er udførligt beskrevet i sin helhed i et blogindlæg og en hvidbog, der er udgivet på ESET's sikkerhedsblog, WeLiveSecurity.

Kort sagt har ESET's forskere, ledet af Jean-Ian Boutin, ESET-seniorforsker, udført et stort forskningsarbejde, der kombinerer deres indgående kendskab til Sednit APT-gruppen, telemetridata fra ESET's detektionssystemer og en tidligere opdagelse af deres kolleger på Arbor Network. Som resultat har de opdaget et helt nyt sæt værktøjer til cyberangreb, herunder det første "in-the-wild" UEFI-rootkit.

Sednit APT-gruppen – hvad er det?

Sednit, der mindst har virket siden 2004 og desuden er kendt som APT28, STRONTIUM, Sofacy og Fancy Bear, er en af de mest aktive APT-grupper (Advanced Persistent Threat). Sådanne grupper er kendt for at udføre cyberspionage og andre cyberangreb på højt profilerede mål.

Angrebet mod den demokratiske nationale komité, der ramte det amerikanske valg i 2016, hacking af det globale tv-netværk TV5Monde, maillækagen hos World Anti-Doping Agency og mange andre menes at være udført af Sednit.

Denne gruppe har et diversificeret sæt malwareværktøjer til rådighed, og ESET-forskere har dokumenteret flere eksempler af dem i deres tidligere hvidbog samt i talrige blogindlæg om WeLiveSecurity. Opdagelsen af LoJax UEFI-rootkit viser, at Sednit APT-gruppen er endnu mere avanceret og farlig, end man tidligere har troet, ifølge Jean-Ian Boutin, ESET-seniorforsker af malware, der har ledt forskningen i den seneste Sednit-kampagne.

Med hensyn til tillæggelse udfører ESET ikke nogen geopolitisk tillæggelse. Gennemførelse af tillæggelse på en seriøs, videnskabelig måde er en kompliceret opgave, som ikke skal udføres af ESET-sikkerhedsforskerne. Det, som ESET-forskere kalder "Sednit-gruppen", er blot et stykke software og den relaterede netværksinfrastruktur uden nogen sammenhæng med en specifik organisation.

Hold dig et skridt foran med ESET

We Live Security blog icon

Bloggen WeLiveSecurity

ESET's prisbelønnede sikkerhedsblog har de seneste nyheder om dette og andre opdagelser

ESET Technology icon

ESET-teknologi

Beskyttelse i flere lag, der kombinerer maskinlæring, menneskelig ekspertise og globale trusselsoplysninger