TrickBot получил модуль взаимодействия с BIOS и UEFI

TrickBot получил модуль взаимодействия с BIOS и UEFI

Разработчики зловреда TrickBot добавили ему функции, позволяющие установить контроль над процессом загрузки операционной системы и обеспечить такое стойкое присутствие, что его не сможет нарушить ни замена жестких дисков, ни переустановка ОС. Новый модуль по сути представляет собой буткит — программу, способную получить доступ к записи BIOS / UEFI и внести изменения в прошивку.

Новая функциональность TrickBot была обнаружена в дикой природе в конце октября. Находка сильно встревожила экспертов: возросшая цепкость вредоноса, способного заражать по несколько тысяч ПК в сутки, — это очень плохая новость. К тому же она еще раз подтвердила, что ботоводы не потеряли надежду восстановить свою сеть после разгрома. Лежащий в ее основе многофункциональный зловред продолжает совершенствоваться, расширяя свои возможности и набор средств самозащиты.

В настоящее время новый модуль TrickBot (аналитики нарекли его TrickBoot) атакует лишь машины на чипсетах Intel, притом не пытается модифицировать прошивку, а только проверяет настройки защиты доступа к BIOS на запись.

Поскольку буткит-функциональность обеспечивает старт вредоносного кода из главной загрузочной записи (MBR) или загрузочного сектора, включение режима безопасной загрузки ОС никакого эффекта не даст. Штатные средства защиты — такие, как BitLocker, ELAM (Early-Launch Anti-Malware), Windows 10 VSM (Virtual Secure Mode), Credential Guard, EDR (Endpoint Detection and Response), антивирусы, — тоже не помогут, так как они стартуют позднее MBR-зловреда. Обновленный TrickBot даже сможет беспрепятственно отключать их.

Использование буткита позволяет боту не только обойти защиту и накрепко обосноваться в системе, но также совершать следующие действия:

  • повторно заражать машину, очищенную с помощью штатных средств восстановления системы;
  • откатывать важные обновления микрокода — вроде патчей для Spectre, MDS и т. п.;
  • удаленно превратить устройство в бесполезный кирпич на уровне прошивки;
  • атаковать уязвимости в прошивках важных компонентов Intel — CSME (Converged Security and Management Engine), AMT (Active Management Technology), BMC (Baseboard Management Controller).

Сценарии использования TrickBoot разнообразны. Эксперты полагают, что нововведение позволит ботоводам проводить массовые сканы с целью обнаружения уязвимостей в BIOS, уничтожать ценные для криминалистов улики, сохранять доступ к взломанным сетям и сдавать его в аренду другим злоумышленникам — например, распространителям программ-шифровальщиков, которые смогут с помощью TrickBoot наказывать неплательщиков, уничтожая их системы.

Примечательно, что код буткита для TrickBot не написан с нуля, а позаимствован у создателей популярного инструмента RWEverything — бесплатной Windows-утилиты для просмотра аппаратных и системных данных ПК. Вирусописатели попросту скопировали драйвер RwDrv.sys и оформили его в виде модуля, устанавливаемого в систему с помощью загрузчика TrickBot.

Создание буткита требует хорошей технической подготовки, и такие творения попадают на радары аналитиков достаточно редко. Из новейших известных вредоносов буткит используют LoJax и MosaicRegressor.

В своем отчете исследователи также отметили, что определить компрометацию системы на уровне BIOS / UEFI непросто. Надежно выявить присутствие буткита можно, подключив к устройству программатор флеш-памяти с SPI-интерфейсом — ПЗУ, в котором хранится информация о прошивке. Однако правильно прочесть содержимое SPI Flash сумеет только специалист; к тому же подобная экспертиза может обернуться для компании длительным простоем.

На рынке также имеется ряд специализированных инструментов и сервисов, позволяющих проверить активность защиты доступа к UEFI на запись. Нарушение целостности микрокода можно выявить проверкой хешей прошивки, а удостовериться в отсутствии известных уязвимостей поможет регулярное обновление прошивки.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В VLC Media Player устранили ряд багов удаленного исполнения кода

Участники проекта VideoLAN выпустили новую сборку кросс-платформенного медиаплеера VLC, подправив функциональность и закрыв уязвимости, грозящие выполнением вредоносного кода. Из нововведений особо примечательна реализация поддержки Apple Silicon — микропроцессоров с архитектурой ARM-64, на которые Apple начала переводить пользователей macOS.

Почти все новые уязвимости в плеере обнаружил эксперт NSFocus Чжэнь Чжоу (Zhen Zhou). Согласно бюллетеню VideoLAN, эти проблемы классифицируются как переполнение буфера считывания и разыменование недопустимого указателя.

Эксплойт во всех случаях, вероятнее всего, повлечет отказ VLC, однако разработчики полагают, что в связке эти уязвимости позволят удаленному злоумышленнику получить доступ к пользовательским данным и даже выполнить свой код с привилегиями текущего пользователя. Для проведения атаки ему придется создать особый файл и обманом заставить жертву открыть его.

Риск исполнения вредоносного кода помогает снизить такая защита, как ASLR (рандомизация адресного пространства процесса) и DEP (предотвращение выполнения данных из области памяти, зарезервированной для авторизованных программ), но ее можно обойти.

Данных об использовании новых брешей в реальных атаках у VideoLAN нет. Заплатки включены в состав обновления VLC 3.0.12, которое пользователям советуют установить.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru