Rootkits UEFI – da teoria a uma ameaça real
Este Santo Graal dos criminosos era muito temido, mas ainda nenhum tinha sido visto in-the-wild. Alguns rootkits UEFI foram apresentados em diversas conferências de segurança como provas de conceito; alguns são conhecidos por estarem à disposição das agências governamentais. No entanto, até agosto de 2018, nenhum rootkit UEFI tinha sido detetado num ataque informático real.
A campanha Sednit mencionada acima utilizou um rootkit UEFI que os investigadores da ESET chamaram de LoJax. A análise da ESET acerca desta campanha está descrita em pormenor neste whitepaper. Mais informações podem ser encontradas no blog de segurança, WeLiveSecurity.
Riscos de segurança do firmware, UEFI, rootkits
O código que é iniciado quando se liga o computador e que tem o poder final sobre o sistema operativo (e, portanto, sobre a máquina inteira) é chamado de firmware. O padrão - pense nisto como um conjunto de regras - de como o firmware se comporta é chamado UEFI (o antecessor era chamado de BIOS). Firmware e UEFI costumam estar ligados e são chamados de firmware UEFI.
Um rootkit é um malware perigoso, desenvolvido para obter acesso “ilegal” e persistente ao que, de outra forma, não seria permitido. Normalmente, um rootkit também mascara a sua existência ou a existência de outro malware.
Saiba mais
Um rootkit UEFI é um rootkit que se oculta no firmware, e há dois motivos para esse tipo de rootkit ser extremamente perigoso. Primeiro, os rootkits UEFI são muito persistentes, capazes de sobreviver à reinicialização de um computador, à reinstalação do sistema operativo e até à substituição do disco rígido. Segundo, eles são difíceis de detetar porque o firmware normalmente não é inspecionado quanto à integridade do código. As soluções de segurança ESET que contêm uma camada dedicada de proteção, o ESET UEFI Scanner, são uma exceção.
O firmware UEFI malicioso é um pesadelo para qualquer pessoa preocupada com a segurança de TI, muito prejudicial e difícil de detectar
Jean-Ian Boutin, Investigador de malware sénior da ESET
Como a ESET o protege do firmware UEFI malicioso
A ESET é o único grande fabricante de segurança da Internet que adiciona uma camada dedicada, o ESET UEFI Scanner, desenvolvido para detectar componentes maliciosos no firmware.
O ESET UEFI Scanner é uma ferramenta que disponibiliza firmware para análise. Posteriormente, o código do firmware é verificado pelas tecnologias de detecção de malware. Os clientes da ESET podem verificar o firmware do computador regularmente ou a pedido. A maioria das deteções é rotulada como Aplicações potencialmente inseguras - um código que tem amplo poder sobre o sistema e, portanto, pode ser mal utilizado. O mesmo código pode ser completamente legítimo se o utilizador ou um administrador souber da sua presença ou for mal-intencionado se tiver sido instalado sem o seu conhecimento e consentimento.
Saiba mais
Naturalmente, desde a descoberta do primeiro ataque cibernético através de um rootkit UEFI, os clientes da ESET equipados com o ESET UEFI Scanner também podem detectar essas modificações maliciosas e, portanto, estão numa excelente posição para se protegerem.
Quanto à resolução, está fora do alcance de um utilizador típico. Em princípio, reinstalar o chip com um firmware limpo ajuda sempre. Se isto não for possível, a única opção restante é substituir a motherboard do computador.
Questões frequentes
A ESET é o único fornecedor de soluções de segurança para endpoints que protege contra ataques informáticos rootkit com UEFI - verdade?
É verdade que a ESET é o único fornecedor de soluções de segurança para endpoint cujos clientes podem ter o seu firmware UEFI analisado à procura de componentes mal-intencionados? Em caso afirmativo, qual é a razão para os concorrentes da ESET não terem essa tecnologia?
A ESET é o único fabricante entre os 20 principais fornecedores de soluções de segurança para endpoints que disponibiliza aos seus utilizadores uma tecnologia de análise UEFI implementada nas suas soluções de proteção de endpoints. Embora outros fabricantes possam ter algumas tecnologias com “UEFI” no título, a sua finalidade é diferente das funções que um sistema de análise de firmware autêntico deve executar.
Quanto ao motivo pelo qual a ESET é o único fornecedor na sua área a proteger o firmware UEFI dos seus clientes, isto ilustra a abordagem responsável da ESET em relação à proteção. Sim, os ataques facilitados pelo firmware UEFI são esporádicos e, até o momento, eram limitados, principalmente no que diz respeito à violação física do computador de destino. No entanto, tal ataque, se bem sucedido, leva ao controlo total da máquina, com uma persistência quase total. Por isso, a ESET tomou a decisão de investir na capacidade de proteger os seus clientes contra ataques facilitados por firmware UEFI.
A recente descoberta do LoJax, o primeiro rootkit UEFI detectado num ataque real, mostra que, infelizmente, os rootkits UEFI podem tornar-se mais frequentes no campo dos ataques avançados ao computador.
Felizmente, graças ao ESET UEFI Scanner, os nossos clientes estão numa excelente posição para detetarem esses ataques e se defenderem contra eles.
Porque é importante verificar o firmware do computador?
Em suma, a análise de firmware é a única forma de se detetar modificações no mesmo. Do ponto de vista da segurança, o firmware corrompido é extremamente perigoso, pois é difícil de detectar e capaz de sobreviver a medidas de segurança, como a reinstalação do sistema operativo e até mesmo a substituição de um disco rígido.
O firmware pode ficar comprometido na altura de fabrico de um computador, ou durante o envio, ou através de uma atualização de firmware, se o invasor obtiver acesso físico ao dispositivo, mas também, como mostra a recente investigação da ESET, através de um sofisticado ataque de malware.
Como funciona o ESET UEFI Scanner?
Normalmente, o firmware não está disponível para análise por soluções de segurança e como resultado, as soluções antivírus apenas efetuam a análise de unidades de disco e memória. Para aceder ao firmware, é necessária uma ferramenta especializada - um scanner -.
O “UEFI scanner” é um módulo nas soluções de segurança ESET cuja única função é ler o conteúdo do firmware UEFI e torná-lo acessível para inspeção. Assim, o ESET UEFI Scanner possibilita que o mecanismo de verificação regular da ESET analise e imponha a segurança num ambiente de pré-inicialização.
Em suma, as soluções de segurança da ESET, com funcionalidades melhoradas pela tecnologia de verificação da UEFI, foram desenvolvidas para detetar componentes suspeitos ou mal-intencionados no firmware e reportá-los ao utilizador.
Como reparar o firmware UEFI?
Assim que um componente suspeito ou mal-intencionado é detectado no firmware, o utilizador é notificado para que possa executar as etapas corretas.
Num determinado cenário, não há qualquer problema com as deteções - o componente suspeito pode pertencer, por exemplo, a uma solução antiroubo desenvolvida para a máxima persistência possível no sistema.
Noutro cenário, no entanto, não há motivo legítimo para a presença do componente estranho descoberto no firmware. Nesse caso, ações de correção devem ser tomadas.
Infelizmente, não há maneiras fáceis de limpar o sistema de tal ameaça. Normalmente, o firmware necessita de volta a ser aplicado para remover o componente malicioso. Se tornar a aplicar o UEFI não é uma opção, a única alternativa é mudar a motherboard do sistema infectado.
Como é que os investigadores da ESET descobriram a campanha que utiliza um rootkit UEFI?
A descoberta da ESET está relatada de forma completa neste artigo e no white paper publicado no blog WeLiveSecurity.
Resumidamente, os investigadores da ESET, liderados por Jean-Ian Boutin, analista sénior da ESET, fizeram um excelente trabalho de investigação. Nele combinaram o seu profundo conhecimento acerca do grupo Sednit APT, dados de telemetria dos sistemas de detcção da ESET e uma descoberta anterior dos seus colegas na Rede Arbor. Como resultado, descobriram um novo conjunto de ferramentas para ataques informáticos, incluindo o primeiro rootkit in-the-wild UEFI.
O grupo Sednit APT - no que consiste?
O grupo Sednit, que funciona pelo menos desde 2004 e é também conhecido como APT28, STRONTIUM, Sofacy e Fancy Bear, é um dos grupos mais ativos do APT (Ameaças Avançadas Persistentes). Estes grupos são conhecidos por espionagem informática e outros ataques cibernéticos a alvos de alto gabarito.
Acredita-se que o hack do Comité Nacional Democrata que afetou as eleições de 2016 nos Estados Unidos, a invasão da rede de TV global TV5Monde, a fuga de e-mails da Agência Mundial Antidoping, sejam resultado do trabalho do grupo Sednit.
Este grupo tem um conjunto diversificado de ferramentas de malware no seu arsenal, sendo que os investigadores documentaram diversos num whitepaper anterior bem como em diversos artigos no WeLiveSecurity. A descoberta do rootkit LoJax UEFI mostra que este grupo ATP Sednit está ainda mais avançado e perigoso do que se pensava. Quem o afirma é Jean-Ian Boutin, Investigador Sénior de Malware da ESET que conduziu a investigação referente à mais recente campanha do Sednit.
Quanto à atribuição, a ESET não aposta em nenhuma atribuição geopolítica. Realizar a atribuição de uma forma séria e científica é uma tarefa delicada que está além do alcance dos investigadores de segurança da ESET. O que os investigadores da ESET chamam de “o grupo Sednit” é meramente um conjunto de software e uma infra-estrutura de rede relacionada, sem qualquer ligação com qualquer organização específica.
Mantenha-se um passo à frente com a ESET
WeLiveSecurity blog
O premiado blog de segurança da ESET acompanha as últimas novidades acerca desta e outras descobertas
Tecnologia ESET
Proteção multicamadas que combina machine-learning, conhecimento humano e inteligência global sobre ameaças