UEFI的全稱為統(tǒng)一可擴展固件接口(Unified Extensible Firmware Interface),已嵌入到現(xiàn)代設(shè)備系統(tǒng)的指定芯片中,它可以替代舊版BIOS�����,通常用于簡化設(shè)備的啟動順序并加載操作系統(tǒng),同時使用功能豐富的環(huán)境來完成此操作����。同時,它已成為攻擊者進行異常持久攻擊的目標(biāo)�����。
研究人員在其中發(fā)現(xiàn)了包含惡意植入的受感染UEFI固件映像��,這種植入是在受害設(shè)備上部署其他惡意軟件的一種手段�,到目前為止,研究人員還沒有遇到過這種惡意軟件��。據(jù)研究人員所知�����,這是第二個已知的公開案例,其中普遍發(fā)現(xiàn)了攻擊者正在使用的惡意UEFI固件�����。
在本文中���,研究人員將詳細(xì)說明以下主要發(fā)現(xiàn):
1.研究人員發(fā)現(xiàn)惡意UEFI固件映像已從其良性副本進行了修改��,以合并幾個惡意模塊���;
2.這些模塊用于將惡意軟件傳播到受害者設(shè)備上。該惡意軟件是研究人員稱為MosaicRegressor的更廣泛的惡意框架的一部分��;
3.該框架的組成部分是在針對非洲���、亞洲和歐洲的外交官和一個非政府組織成員的一系列針對性攻擊中發(fā)現(xiàn)的��,這些攻擊者與朝鮮的活動均顯示出聯(lián)系��。
4.攻擊活動中使用的某些框架組件中的代碼偽造以及C&C基礎(chǔ)結(jié)構(gòu)中的重疊部分表明��,這些攻擊可能與使用Winnti后門的組織有聯(lián)系�����;
此次攻擊是在固件掃描器的幫助下發(fā)現(xiàn)的����,該掃描器自2019年初以來已集成到卡巴斯基的產(chǎn)品中。這項技術(shù)是專門用來檢測隱藏在ROM BIOS中的攻擊的�,包括UEFI固件鏡像。
UEFI是構(gòu)成低級平臺固件的結(jié)構(gòu)和操作的規(guī)范����,以便允許操作系統(tǒng)在其活動的各個階段與其進行交互。
這種交互在引導(dǎo)階段最為明顯����,在這個階段UEFI固件促進了操作系統(tǒng)本身的加載�。也就是說,它也可能發(fā)生在操作系統(tǒng)已經(jīng)啟動并運行時��,例如為了通過定義明確的軟件接口更新固件����。
綜上所述,UEFI固件為惡意軟件的持久存儲提供了一個完善的機制���。老練的攻擊者可以修改固件���,使其部署惡意代碼��,在操作系統(tǒng)加載后運行���。此外,由于通常是將SPI閃存存儲在焊接到設(shè)備主板的SPI閃存中�,因此植入的惡意軟件將無法重新安裝系統(tǒng)或更換硬盤驅(qū)動器。
在過去的幾年中��,這種攻擊已經(jīng)發(fā)生了好幾次�。一個突出的例子是研究人員的朋友在ESET于2018年發(fā)現(xiàn)的LowJax植入,其中LoJack防盜軟件(也稱為Computrace)的修補UEFI模塊被用于在多個Sofacy \ Fancy中部署惡意用戶模式代理����。另一個示例是一個名為VectorEDK的UEFI引導(dǎo)工具的源代碼,該代碼在2015年的黑客團隊泄漏中被發(fā)現(xiàn)��。該代碼由一組UEFI模塊組成����,可以將這些模塊合并到平臺固件中,以便將后門部署到系統(tǒng)中它將在操作系統(tǒng)加載時運行�����,或在被刪除后重新部署。盡管VectorEDK的代碼已公開并可以在如今的Github中找到���,但在研究人員最新發(fā)現(xiàn)之前���,研究人員還沒有親眼目睹它的真實證據(jù)。
漏洞發(fā)現(xiàn)過程
在調(diào)查過程中��,研究人員遇到了幾個可疑的UEFI固件映像���。更深入的檢查顯示�,它們包含四個組件�����,這些組件在其分配的GUID值中異常接近�,分別是兩個DXE驅(qū)動程序和兩個UEFI應(yīng)用程序����。經(jīng)過進一步分析,研究人員能夠確定它們是基于HackingTeam的VectorEDK引導(dǎo)程序泄漏的源代碼�����。
受攻擊的UEFI固件中包含惡意組件
這些添加的模塊的目的是調(diào)用一系列事件,這些事件將導(dǎo)致將名為“IntelUpdate.exe”的惡意可執(zhí)行文件寫入受害者的Startup文件夾��。因此�,當(dāng)Windows啟動時,編寫的惡意軟件也會被調(diào)用�����。除此之外��,模塊將確保如果惡意軟件文件被從磁盤上刪除����,它將被重寫。由于該邏輯是從SPI閃存執(zhí)行的��,因此除了刪除惡意固件之外����,沒有其他方法可以避免此過程。
以下是研究人員揭示的組件的概述:
SmmInterfaceBase:一個DXE驅(qū)動程序����,基于黑客團隊的“rkloader”組件���,旨在部署bootkit的其他組件以供以后執(zhí)行。這是通過注冊一個回調(diào)來實現(xiàn)的����,該回調(diào)將在EFI_EVENT_GROUP_READY_TO_BOOT類型的事件上調(diào)用。事件發(fā)生在可以將控制權(quán)傳遞給操作系統(tǒng)的引導(dǎo)加載程序時��,有效地允許回調(diào)在它之前生效�����?;卣{(diào)將依次加載并調(diào)用“SmmAccessSub”組件。
Ntfs:由黑客團隊編寫的驅(qū)動程序��,用于檢測和解析NTFS文件系統(tǒng)��,以便允許在磁盤上執(zhí)行文件和目錄操作���。
SmmReset:將固件映像標(biāo)記為感染的UEFI應(yīng)用程序,這是通過將名為“fTA”的變量的值設(shè)置為硬編碼的GUID來實現(xiàn)的�����。該應(yīng)用程序基于名為“ReSetfTA”的原始Vector-EDK代碼庫中的組件。
使用預(yù)定義的GUID設(shè)置fTA變量以標(biāo)記bootkit的執(zhí)行
SmmAccessSub:主要的一個bootkit組件�,可作為用戶模式惡意軟件的永久dropper。它由在“SmmInterfaceBase”執(zhí)行期間注冊的回調(diào)執(zhí)行��,并負(fù)責(zé)將嵌入其中的二進制文件作為名為“IntelUpdate.exe”的文件寫入磁盤上的啟動目錄�。這允許二進制文件在Windows啟動并運行時執(zhí)行。
這是研究人員所檢查的組件中唯一的專有組件����,該組件主要是從頭開始編寫的,只使用了Vector-EDK應(yīng)用程序名為“fsbg”的代碼��。它執(zhí)行以下操作以將所需文件拖放到磁盤:
1.用于SystemTable�����、BootServices和RuntimeServices全局結(jié)構(gòu)的引導(dǎo)指針�����。
2.嘗試通過使用EFI_LOADED_IMAGE_PROTOCOL_GUID參數(shù)調(diào)用HandleProtocol方法來獲取當(dāng)前加載的圖像的句柄��。
3.如果獲得了當(dāng)前映像的句柄��,則模塊將枚舉所有驅(qū)動器并檢查其中是否存在“ \ Windows \ System32”目錄,以嘗試找到安裝Windows的根驅(qū)動器���。此時將創(chuàng)建一個與驅(qū)動器相對應(yīng)的全局EFI_FILE_PROTOCOL對象���,并將其引用以打開該驅(qū)動器中的所有其他目錄或文件。
4.如果在上一階段找到了根驅(qū)動器�,則該模塊會在Windows目錄下查找名為“setupinf.log”的標(biāo)記文件,并且僅在不存在時繼續(xù)運行�。在沒有此文件的情況下,將創(chuàng)建它��。
5.如果成功創(chuàng)建“setupinf.log”��,則該模塊將繼續(xù)檢查“用戶”目錄是否在同一驅(qū)動器下����。
6.如果“用戶”目錄存在,它將在根驅(qū)動器的“ProgramData\Microsoft\Windows\Start Menu\Programs\Startup”目錄下寫入“IntelUpdate.exe”文件(嵌入在UEFI應(yīng)用程序的二進制文件中)����。
來自“SmmAccessSub”的代碼用于將嵌入式“IntelUpdate.exe”二進制文件寫入Windows啟動目錄
不幸的是,研究人員無法確定允許攻擊者覆蓋原始UEFI固件的確切感染媒介����,研究人員的檢測日志表明�,固件本身被發(fā)現(xiàn)是惡意的����,但之前沒有可疑事件�。因此,研究人員只能推測感染發(fā)生的大致過程�����。
一種選擇是通過對受害者設(shè)備的物理訪問�����,這可能部分基于黑客團隊泄漏的資料��,根據(jù)該資料����,安裝感染VectorEDK的固件需要從USB密鑰啟動目標(biāo)設(shè)備。這樣的USB將包含一個特殊的更新實用程序����,該實用程序可以由公司提供的指定生成器生成。研究人員在檢查的固件中找到了Q-flash更新實用程序�����,也可以將其用于此目的。
此外�����,泄漏表明UEFI感染功能(被黑客小組稱為“持久安裝”)已在ASUS X550C筆記本電腦上進行了測試��。它們使用AMI的UEFI固件�����,與研究人員檢查的固件非常相似��。因此�,研究人員可以假設(shè)黑客團隊的固件修補方法也適用于研究人員的情況。
用于部署受感染的UEFI固件���,也稱為“永久安裝”
當(dāng)然����,研究人員不能排除通過惡意更新機制遠(yuǎn)程流氓固件的其他可能性��。這種情況通常需要利用BIOS更新身份驗證過程中的漏洞�����。雖然可能是這種情況,但研究人員沒有任何證據(jù)支持��。
了解MosaicRegressor框架
雖然使用了黑客團隊的原始bootkit將公司的后門之一(稱為“Soldier”��,“ Scout”或“ Elite”)寫入磁盤�,但研究人員調(diào)查的UEFI植入部署了迄今為止尚未見過的新惡意軟件����。研究人員決定尋找與刪除的二進制文件共享字符串和實現(xiàn)特征的類似示例。因此�,研究人員發(fā)現(xiàn)的樣本表明,被刪除的惡意軟件只是源自研究人員稱為MosaicRegressor的更廣泛框架的一種變種�。
MosaicRegressor是一個多階段的模塊化框架,旨在進行間諜活動和數(shù)據(jù)收集���。它由下載器組成���,偶爾還包括多個中間加載器,它們旨在在受害設(shè)備上獲取并執(zhí)行有效載荷�。框架由多個模塊組成的事實可幫助攻擊者隱藏更廣泛的框架以進行分析�,并僅根據(jù)需要將組件部署到目標(biāo)設(shè)備��。確實��,研究人員在調(diào)查期間只能獲得少量的有效載荷組件��。
MosaicRegressor的下載器組件由常見的業(yè)務(wù)邏輯組成�,由此植入程序與C&C聯(lián)系���,從中下載其他DLL����,然后從中加載并調(diào)用特定的導(dǎo)出功能���。下載模塊的執(zhí)行通常會產(chǎn)生輸出����,這些輸出可以返回給C&C����。
話雖如此,研究人員觀察到的各種下載器在聯(lián)系其C&C時使用了不同的通信機制:
·CURL庫(HTTP / HTTPS)
·BITS傳輸接口
·WinHTTP API
·POP3S / SMTPS / IMAPS��,有效載荷通過電子郵件傳輸
列表中的最后一個變種不同于它使用電子郵件箱來承載請求的有效載荷���,由該植入程序運行的有效載荷也可以在調(diào)用時生成輸出��,隨后可以將其轉(zhuǎn)發(fā)到一個“反饋”郵件地址��,在那里攻擊者很可能會收集該輸出����。
下載器也可以分為兩種不同的類型:“普通”類型僅用于提取有效載荷,“擴展”版本也用于收集系統(tǒng)信息:
由BitsRegEx編寫的日志文件的結(jié)構(gòu)���,紅色標(biāo)記的字符串是該文件中顯示的原始字段
研究人員只能獲得后續(xù)階段的一個變種,該變種安裝在自動運行的注冊表值中��,并充當(dāng)應(yīng)該由初始下載器獲取的組件的另一個加載器���。這些組件也只是下一階段DLL的中間加載程序����。最終�,持久性組件中沒有具體的業(yè)務(wù)邏輯,因為C&C服務(wù)器以DLL文件的形式提供了持久性組件��,其中大多數(shù)是臨時文件�����。
研究人員觀察到了一個這樣的庫“l(fā)oad.rem”,它是一個基本的文件竊取程序��,它從“最近的文件”目錄中獲取文件并使用密碼進行歸檔�,這可能是在將結(jié)果由另一個文件泄露給C&C之前的第一步。
下圖描述了研究人員所了解的組件之間的完整流程和連接��,有顏色的是研究人員獲得的組件����,灰色的是研究人員沒有獲得的組件:
從BitsRegEx到執(zhí)行中間加載程序和最終有效載荷的流程
攻擊目標(biāo)
根據(jù)研究人員的分析,在2017年至2019年之間����,有數(shù)十名受害者從MosaicRegressor框架中獲得了資助。這些受害者包括非洲�����、亞洲和歐洲的外交對象和非政府組織�����。在BitsReg組件部署之前���,他們中只有兩個在2019年還感染了UEFI bootkit�����。
根據(jù)發(fā)現(xiàn)的受害者的隸屬關(guān)系�����,研究人員可以確定所有人都與朝鮮有某種聯(lián)系��,無論是與該國有關(guān)的非營利活動還是在該國的實際存在����??梢酝ㄟ^一種用于將惡意軟件傳播給某些受害者的感染媒介來加強這一共同主題,即SFX文件偽裝成討論與朝鮮有關(guān)的各個主題的文件�。這些文件與實際文檔和MosaicRegressor變量捆綁在一起,在打開存檔時都已執(zhí)行����。誘餌文件的示例如下所示。
將誘餌文檔捆綁到發(fā)送給MosaicRegressor受害者的惡意SFX存檔中的示例
誰是幕后黑手?
在分析MosaicRegressor的變種時�����,研究人員注意到了一些有趣的偽裝的圖像,這些偽裝的圖像為研究人員提供了有關(guān)框架背后角色身份的線索����。據(jù)研究人員所知,攻擊是由華語地區(qū)的攻擊者進行的���,他可能以前曾使用過Winnti后門����。研究人員發(fā)現(xiàn)了BitsRegEx變種生成的系統(tǒng)信息日志中使用的許多字符串�,其中包含字符序列“0xA3,0xBA”��。這是UTF8字符串的無效序列���,并且LATIN1編碼將這些符號轉(zhuǎn)換為井號��,后跟陽性序數(shù)記號(MASCULINE ORDINAL INDICATOR) (“ ”)�。嘗試遍歷所有可用的iconv符號表�,嘗試將序列轉(zhuǎn)換為UTF-8,會產(chǎn)生可能的候選項�,從而給出更有意義的解釋。給定符號前后的字符串上下文和其后的換行符號,最佳匹配是從中文或韓文代碼頁(即CP936和CP949)轉(zhuǎn)換的“FULL-WIDTH COLON” Unicode字符��。
根據(jù)代碼頁CP936和CP949��,使用字符序列0xA3�、0xBA的BitsRegEx系統(tǒng)信息日志,很可能用來表示全角冒號���。
研究人員發(fā)現(xiàn)的另一個偽裝的圖像是在CurlReg樣本中找到的文件資源����,其中包含設(shè)置為2052(“ zh-CN”)的語言標(biāo)識符���。
研究人員檢測到從帶有CVE-2018-0802漏洞的文檔中取出的OLE2對象��,該漏洞由所謂的 ‘Royal Road’ / ‘8.t’ 文檔生成器生成���,并用于刪除CurlReg變種��。據(jù)研究人員所知��,這種生成器通常是華語地區(qū)攻擊者使用的�。
根據(jù)公開報告,在“MosaicRegressor”變種之一(MD5:3B58E122D9E17121416B146DAAB4DB9D)中發(fā)現(xiàn)了一個C&C地址(103.82.52[.]18)。由于這是研究人員的發(fā)現(xiàn)與使用Winnti后門的任何小組之間的唯一鏈接����,因此研究人員不太有把握地估計攻發(fā)生擊的原因。
1���、首先點擊開始菜單�,再點擊Windows系統(tǒng)展開���,可以看到命令提示符點擊打開即可����。
2����、進入后在末尾輸入sfc verifyonly命令,按回車鍵��,之后就可以查看到該檢查器命令的所有參數(shù)了�����。
3�、再輸入sft/scannow,掃描所有保護的系統(tǒng)文件的完整性��,盡可能的修復(fù)有問題的文件�,最后系統(tǒng)就自動修復(fù)了�����。
責(zé)任編輯:中山網(wǎng)站建設(shè)
【網(wǎng)訊網(wǎng)絡(luò)】國家高新技術(shù)企業(yè)》十二年專注軟件開發(fā)���,網(wǎng)站建設(shè)�����,網(wǎng)頁設(shè)計��,APP開發(fā)����,小程序��,微信公眾號開發(fā)�����,定制各類企業(yè)管理軟件(OA�����、CRM�、ERP、OMS訂單管理系統(tǒng)�、WMS進銷存管理軟件等)!服務(wù)熱線:0760-88610046�、13924923903,http://www.denorpool.com
