TrickBot получил модуль взаимодействия с BIOS и UEFI

TrickBot получил модуль взаимодействия с BIOS и UEFI

Разработчики зловреда TrickBot добавили ему функции, позволяющие установить контроль над процессом загрузки операционной системы и обеспечить такое стойкое присутствие, что его не сможет нарушить ни замена жестких дисков, ни переустановка ОС. Новый модуль по сути представляет собой буткит — программу, способную получить доступ к записи BIOS / UEFI и внести изменения в прошивку.

Новая функциональность TrickBot была обнаружена в дикой природе в конце октября. Находка сильно встревожила экспертов: возросшая цепкость вредоноса, способного заражать по несколько тысяч ПК в сутки, — это очень плохая новость. К тому же она еще раз подтвердила, что ботоводы не потеряли надежду восстановить свою сеть после разгрома. Лежащий в ее основе многофункциональный зловред продолжает совершенствоваться, расширяя свои возможности и набор средств самозащиты.

В настоящее время новый модуль TrickBot (аналитики нарекли его TrickBoot) атакует лишь машины на чипсетах Intel, притом не пытается модифицировать прошивку, а только проверяет настройки защиты доступа к BIOS на запись.

Поскольку буткит-функциональность обеспечивает старт вредоносного кода из главной загрузочной записи (MBR) или загрузочного сектора, включение режима безопасной загрузки ОС никакого эффекта не даст. Штатные средства защиты — такие, как BitLocker, ELAM (Early-Launch Anti-Malware), Windows 10 VSM (Virtual Secure Mode), Credential Guard, EDR (Endpoint Detection and Response), антивирусы, — тоже не помогут, так как они стартуют позднее MBR-зловреда. Обновленный TrickBot даже сможет беспрепятственно отключать их.

Использование буткита позволяет боту не только обойти защиту и накрепко обосноваться в системе, но также совершать следующие действия:

  • повторно заражать машину, очищенную с помощью штатных средств восстановления системы;
  • откатывать важные обновления микрокода — вроде патчей для Spectre, MDS и т. п.;
  • удаленно превратить устройство в бесполезный кирпич на уровне прошивки;
  • атаковать уязвимости в прошивках важных компонентов Intel — CSME (Converged Security and Management Engine), AMT (Active Management Technology), BMC (Baseboard Management Controller).

Сценарии использования TrickBoot разнообразны. Эксперты полагают, что нововведение позволит ботоводам проводить массовые сканы с целью обнаружения уязвимостей в BIOS, уничтожать ценные для криминалистов улики, сохранять доступ к взломанным сетям и сдавать его в аренду другим злоумышленникам — например, распространителям программ-шифровальщиков, которые смогут с помощью TrickBoot наказывать неплательщиков, уничтожая их системы.

Примечательно, что код буткита для TrickBot не написан с нуля, а позаимствован у создателей популярного инструмента RWEverything — бесплатной Windows-утилиты для просмотра аппаратных и системных данных ПК. Вирусописатели попросту скопировали драйвер RwDrv.sys и оформили его в виде модуля, устанавливаемого в систему с помощью загрузчика TrickBot.

Создание буткита требует хорошей технической подготовки, и такие творения попадают на радары аналитиков достаточно редко. Из новейших известных вредоносов буткит используют LoJax и MosaicRegressor.

В своем отчете исследователи также отметили, что определить компрометацию системы на уровне BIOS / UEFI непросто. Надежно выявить присутствие буткита можно, подключив к устройству программатор флеш-памяти с SPI-интерфейсом — ПЗУ, в котором хранится информация о прошивке. Однако правильно прочесть содержимое SPI Flash сумеет только специалист; к тому же подобная экспертиза может обернуться для компании длительным простоем.

На рынке также имеется ряд специализированных инструментов и сервисов, позволяющих проверить активность защиты доступа к UEFI на запись. Нарушение целостности микрокода можно выявить проверкой хешей прошивки, а удостовериться в отсутствии известных уязвимостей поможет регулярное обновление прошивки.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

28% сотрудников компаний сливают рабочие логины и пароли фишерам

Тренировочные фишинговые рассылки, проведенные МТС RED в рамках сервиса Security Awareness, показали, что около трети сотрудников компаний переходят по ссылкам в таких письмах, а 28% оставляют на фейковых сайтах ключи от рабочих аккаунтов.

Пробные сообщения были разосланы 1018 сотрудникам крупных компаний. Результаты показали, что 319 получателей не умеют распознавать письма фишеров, а 285 — поддельные страницы.

«Порядка 30% переходов по фишинговым ссылкам в электронных письмах, замаскированных под рядовую корпоративную переписку, — стандартный показатель для компаний, реализующих базовые меры профилактики фишинга, — комментирует Илья Одинцов, руководитель направления Security Awareness. — Однако нас удивило, что 28% получателей писем вводят свои рабочие учетные данные на фишинговой странице. Мы ожидали, что этот показатель будет в два раза ниже».

Примечательно, что после первого обучения с использованием результатов тренировки доля переходов сокращается два раза и более. Однако хорошие показатели держатся недолго и откатываются до прежнего уровня. Следовательно, такие тренинги эффективны, когда они проводятся регулярно.

Статистика получена путем анализа результатов тренировочных рассылок, проведенных в 2024 году с февраля по март. В качестве темы в письмах фигурировали внутренние новости компаний, а также подарки к 23 Февраля и 8 Марта.

Перед праздниками объемы фишинга обычно возрастают. По данным МТС RED SOC, в этом году всплеск такой активности наблюдался только накануне 8 Марта. Скачок был заметным: за несколько дней число посланий фишеров возросло на 27%.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru