ESET ontdekt de allereerste UEFI-rootkit cyberaanval

Wat zijn uw beveiligingsrisico's?

UEFI-rootkits - van theorie naar een serieuze bedreiging

UEFI-rootkits worden vaak gezien als de Heilige Graal voor hackers, maar zijn nog niet eerder "in het wild" ontdekt. Deze vorm van malware is wel vaker onderwerp geweest op verschillende securityconferenties waarbij deze rootkits werden gepresenteerd als proof of concept; sommige van deze rootkits staan ter beschikking van overheidsinstanties. Met de ontdekking van een campagne van de beruchte Sednit APT-groep heeft ESET de eerste UEFI-rootkit aangetroffen in een echte cyberaanval.

De bovengenoemde Sednit campagne maakt gebruik van een UEFI-rootkit die ESET onderzoekers tot LoJax hebben benoemd. ESET’s analyse van de campagne wordt gedetailleerd beschreven in de whitepaper "LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group". Meer informatie over UEFI-gerelateerde beveiliging is op ESET’s blogplatform WeLiveSecurity te vinden.

Beveiligingsrisico's van firmware, UEFI, rootkits

De software die direct na het opstarten van de computer wordt geactiveerd en die de volledige controle heeft over het besturingssysteem van de computer (en dus de hele machine), wordt firmware genoemd. De hedendaagse standaard van firmware heet UEFI (zijn voorganger heette BIOS). Firmware en UEFI worden vaak aan elkaar gelinkt en staat daarom ook bekend als UEFI-firmware.

Een rootkit is een gevaarlijke malware die is ontworpen om illegale en vaste toegang te verkrijgen tot wat normaal niet is toegestaan. Een rootkit maskeert daarnaast zijn eigen bestaan of het bestaan van andere malware.

Een UEFI-rootkit is een rootkit dat zich schuilhoudt in firmware. Er zijn twee redenen waarom dit type rootkit extreem gevaarlijk is. Ten eerste zijn UEFI-rootkits zeer hardnekkig en in staat om de herstart van een computer, herinstallatie van het besturingssysteem en zelfs vervanging van de harde schijf te overleven. Ten tweede zijn ze erg moeilijk te detecteren, omdat firmware vaak niet wordt gecontroleerd op integriteit van de code. De securityoplossingen van ESET met de speciale beveiligingslaag, de ESET UEFI Scanner, zijn uniek in hun soort.

Kwaadwillende UEFI-firmware is een nachtmerrie voor iedereen die te maken heeft met IT-security. Dit komt omdat het zeer schadelijk en moeilijk te detecteren is.

Jean-Ian Boutin, Senior Malware Researcher bij ESET

Hoe ESET beschermt tegen kwaadwillende UEFI-firmware

ESET is de enige grote internet securityprovider die een speciale beveiligingslaag, de ESET UEFI Scanner, toevoegt aan de securityoplossingen. Deze speciale beveiligingslaag is ontworpen om kwaadwillende onderdelen in de firmware te detecteren.

De ESET UEFI Scanner is een tool die het mogelijk maakt om firmware te scannen. Vervolgens wordt de code van de firmware gescand met behulp van detectietechnologieën voor malware. Klanten van ESET kunnen op gezette tijden of on-demand de firmware van hun computer scannen. Daarnaast voert de startup scanner ook standaard een UEFI-scan uit. De meeste detecties worden bestempeld als Potentially Unsafe Applications - een applicatie die veel macht heeft over het systeem en daarom misbruikt kan worden. Deze applicatie kan volledig legitiem zijn wanneer de gebruiker of beheerder op de hoogte is van de aanwezigheid ervan, maar de code kan ook kwaadwillend zijn als het zonder hun medeweten en toestemming is geïnstalleerd.

Sinds de ontdekking van de eerste cyberaanval die gebruik maakt van de UEFI-rootkit, kunnen klanten van ESET met behulp van de ESET UEFI Scanner deze kwaadwillende aanpassingen natuurlijk ook detecteren. Hierdoor zijn zij in de positie om zichzelf uitstekend te beschermen.

Herstelmogelijkheden indien een systeem al geïnfecteerd is liggen vaak buiten het bereik van een typische gebruiker. In principe helpt het opnieuw flashen van de chip met een schone firmware altijd. Wanneer dit niet mogelijk is, is het vervangen van het moederbord van de computer de enige resterende optie.

Veelgestelde vragen

Is het waar dat ESET de enige leverancier van endpoint securityoplossingen is waarvan de klanten hun UEFI-firmware kunnen laten scannen op kwaadwillende componenten? Zo ja, wat is de reden waarom de concurrenten van ESET niet over een dergelijke technologie beschikken?

ESET is de enige leverancier in de 'Top 20 Endpoint Security Solutions Vendors op basis van omzet' die zijn gebruikers een UEFI-scantechnologie biedt die is geïmplementeerd in de endpoint securityoplossingen. Terwijl sommige andere vendoren "UEFI" in de titel van bepaalde technologieën hebben, is het doel daarvan anders dan de functie die een authentieke firmwarescanner moet uitvoeren.

Dat ESET de enige leverancier in zijn sector is die de UEFI-firmware van zijn klanten beveiligt, illustreert ESET's verantwoordelijke aanpak op het gebied van bescherming. Ja, UEFI-firmware gefaciliteerde aanvallen zijn sporadisch en waren tot nu toe meestal beperkt tot fysieke manipulatie van de doelgerichte computer. Echter, mocht zo een aanval slagen, dan zou deze leiden tot totale controle van de machine, met bijna volledige persistentie. ESET heeft daarom besloten om zijn middelen te investeren om zijn klanten te beveiligen tegen UEFI-firmware gefaciliteerde aanvallen.

De recente ontdekking van LoJax, de allereerste gedetecteerde UEFI-rootkit cyberaanval, toont aan dat UEFI-rootkits helaas een vast onderdeel van geavanceerde cyberaanvallen kunnen worden.

Gelukkig zijn onze klanten dankzij de ESET UEFI Scanner in de positie om zulke aanvallen te herkennen en zich daartegen te verdedigen.

Kort samengevat is het scannen van firmware de enige manier om aanpassingen in de firmware te ontdekken. Vanuit security perspectief is de gecorrumpeerde firmware erg gevaarlijk, omdat het moeilijk is om de securitymaatregelen te detecteren en ze overleven reparaties, zoals bijvoorbeeld het opnieuw installeren van het besturingssysteem en zelf de vervanging van de harde schijf.

Firmware kan in gevaar komen tijdens de productiefase van de computer, tijdens de verzending ervan of via het opnieuw flashen van de firmware indien de aanvaller fysieke toegang krijgt tot het apparaat, maar ook -zoals het recente onderzoek van ESET aantoont- via een geavanceerde malware-aanval.

Normaal gesproken is de firmware niet toegankelijk voor securityoplossingen die scans uitvoeren. Als gevolg daarvan zijn securityoplossingen alleen ontworpen voor het scannen van disk drives en het geheugen. Om toegang te verkrijgen tot de firmware is een gespecialiseerde tool - een scanner - nodig.

De UEFI-scanner is een module in ESET securityoplossingen waarvan de enige functie is om de inhoud van de UEFI-firmware te lezen en deze toegankelijk te maken voor inspectie. Zo maakt de UEFI-scanner het mogelijk voor ESET zijn reguliere scanmachine om de beveiliging van de pre-bootomgeving te controleren en af te dwingen.

Kortom: ESET securityoplossingen, met mogelijkheden die worden versterkt door de UEFI-scantechnologie, zijn ontworpen om verdachte of kwaadwillende onderdelen in de firmware te detecteren en aan de gebruiker de rapporteren.

Zodra een verdacht of kwaadaardig onderdeel in de firmware is gedetecteerd, wordt de gebruiker op de hoogte gesteld zodat hij de juiste stappen kan zetten.

Niet alle detecties zijn direct kwaadaardig, zo kan een detectie bijvoorbeeld behoren tot een anti-diefstaloplossing die is ontworpen voor maximale persistentie in het systeem.

In andere scenario’s is er echter geen legitieme reden voor de aanwezigheid van het ontdekte niet-standaard onderdeel in de firmware. In zo een geval moeten er herstelmaatregelen getroffen worden.

Helaas zijn er geen eenvoudige manieren om het systeem te zuiveren van een dergelijke bedreiging. In de meeste gevallen moet de firmware opnieuw worden geflasht om het schadelijke onderdeel te verwijderen. Als het opnieuw flashen van de UEFI geen optie is, is het enige alternatief om het moederbord van het geïnfecteerde systeem te vervangen.

De ontdekking van ESET wordt gedetailleerd beschreven in een blog post en in een whitepaper op ESET's blogplatform WeLiveSecurity.

In het kort, ESET onderzoekers, onder leiding van Jean-Ian Boutin, Senior Researcher van ESET, hebben uitstekend onderzoek uitgevoerd waarbij ze hun diepgaande kennis van de Sednit APT-groep, telemetrie data van ESET detectiesystemen en een eerdere ontdekking - uitgevoerd door collega’s van Arbor Network - hebben gecombineerd. Als resultaat ontdekten ze een geheel nieuwe set van tools voor cyberaanvallen, waaronder de allereerste "in-the-wild" UEFI-rootkit.

Sednit, actief sinds tenminste 2004 en ook bekend als APT28, STRONTIUM, Sofacy en Fancy Bear, is een van de meest actieve APT (Advanced Persistent Threat) groepen. Van deze groepen is bekend dat zij cyberspionage en andere cyberaanvallen uitvoeren op prominente doelwitten.

De Democratic National Comittee-hack die de verkiezingen van 2016 in de VS heeft getroffen, het hacken van het wereldwijde televisienetwerk TV5Monde, de e-maillek van het World Anti-Doping Agency, en vele andere cyberaanvallen worden beschouwd als het werk van Sednit.

Deze groep heeft een diversiteit van malware tools in hun arsenaal, waarvan ESET onderzoekers in hun vorige whitepaper en in een aantal blogs op WeLiveSecurity verschillende voorbeelden hebben gedocumenteerd. De ontdekking van de LoJax UEFI-rootkit toont aan dat de Sednit APT-groep nog geavanceerder en gevaarlijker is dan eerder werd gedacht, aldus Jean-Ian Boutin, Senior Malware Researcher bij ESET die het onderzoek naar de recente Sednit campagne leidde.

ESET voert geen geopolitieke attributie uit. Het uitvoeren van attributie op een serieuze, wetenschappelijke manier is een delicate taak die buiten de opdracht van ESET security onderzoekers valt. Wat ESET onderzoekers "de Sednit-groep" noemen, is slechts een set van software en de bijbehorende netwerkinfrastructuur, zonder enige correlatie met een specifieke organisatie.