A segurança da UEFI (Interface de Firmware Extensível Unificada) tem sido um tópico importante nos últimos anos, mas, devido a várias limitações, muito pouco malware baseado em UEFI foi encontrado no passado. Depois de descobrir o primeiro rootkit UEFI em estado selvagem, conhecido como LoJax, os investigadores da ESET decidiram criar um sistema que lhes permitisse explorar o vasto cenário da UEFI de uma forma eficiente, identificando com segurança ameaças emergentes e desconhecidas da UEFI.
Encontrar malware como o LoJax é raro - existem milhões de executáveis UEFI em estado selvagem e apenas uma pequena parte deles é maliciosa. Vimos mais de 2,5 milhões de executáveis UEFI únicos, de um total de 6 mil milhões, apenas nos últimos dois anos”, explica Filip Mazán, engenheiro de software da ESET, que trabalhou na construção do sistema de learning-machine.
Começando com os dados de telemetria conseguidos através do scanner UEFI da ESET, os especialistas em learning-machine da ESET e os investigadores de malware criaram um pipeline de processamento personalizado para executáveis UEFI que aproveita o learning-machine para detetar estranhezas nas amostras recebidas. “Para reduzir o número de amostras que requerem atenção humana, decidimos construir um sistema personalizado para destacar amostras externas, encontrando características incomuns nos executáveis UEFI”, diz Mazán.
Como prova de conceito, os investigadores testaram o sistema resultante em executáveis UEFI suspeitos e mal-intencionados conhecidos que não foram incluídos anteriormente no conjunto de dados - principalmente o driver LoJax UEFI. O sistema concluiu com êxito que o driver LoJax era muito diferente de tudo o que já tinham visto anteriormente. “Esse teste bem-sucedido dá-nos um grau de confiança de que, se outra ameaça UEFI semelhante surgir, seremos capazes de identificar a mesma como uma singularidade, e desde logo analisá-la e criar um sistema de deteção de acordo com as necessidades”, comenta Mazán.
Para além de mostrar fortes recursos na identificação de executáveis UEFI suspeitos, a abordagem de learning-machine reduziu a carga de trabalho dos analistas da ESET em até 90% (se analisassem todas as amostras recebidas). Graças ao facto de que cada novo executável UEFI recebido é adicionado ao conjunto de dados, processado, indexado e levado em consideração para as próximas amostras recebidas, a solução oferece monitorização em tempo real do cenário UEFI.
Através da procura de ameaças à UEFI usando este sistema, os investigadores da ESET descobriram vários componentes UEFI interessantes que podem ser divididos em duas categorias: backdoors de firmware UEFI e módulos de persistência ao nível do SO. “Embora o nosso pipeline de processamento executável UEFI ainda não tenha resultado em encontrar nenhum novo malware UEFI, os resultados que ele produziu até agora são promissores”, diz Jean-Ian Boutin, investigador sénior de malware da ESET. A descoberta mais notável é o backdoor da ASUS: um backdoor de firmware UEFI encontrado em vários modelos de laptops da ASUS e corrigido pela ASUS após a notificação da ESET.