Control-Alt-Can't delete: Zeldzame firmware-bootkit ontdekt

| Kaspersky | 3 min | 05 oktober 2020 13:44
Copyright: Kaspersky
Kaspersky ontdekte onlangs het gebruik van een uiterst zeldzaam type malware tijdens een geavanceerde hardnekkige dreiging (APT) spionagecampagne: een firmware-bootkit. Kaspersky’s UEFI/BIOS-scantechnologie identificeerde een onbekende malware in de Unified Extensible Firmware Interface (UEFI). Als essentieel onderdeel van een computer, is het erg moeilijk om de geïnfecteerde apparaten te detecteren en te verwijderen. De UEFI-bootkit die bij de malware wordt gebruikt, is een aangepaste versie van de bootkit van Hacking Team, gelekt in 2015.

UEFI-firmware wordt gestart nog voordat het besturingssysteem en alle daarin geïnstalleerde programma's, worden opgestart. Als de UEFI-firmware wordt gewijzigd en bijvoorbeeld schadelijke code bevat, wordt die code nog vóór het besturingssysteem gestart. Hierdoor wordt de activiteit ervan onzichtbaar voor beveiligingsoplossingen. In combinatie met het feit dat de firmware zich op een flash-chip bevindt die gescheiden is van de harde schijf, zijn aanvallen op UEFI bijzonder volhardend. De malware die door de bootkit is geplaatst blijft namelijk op het apparaat, ongeacht hoe vaak het besturingssysteem opnieuw wordt geïnstalleerd.

Ontdekt in spionagecampagne

De aanvallen werden gevonden met behulp van Firmware Scanner, die sinds begin 2019 in Kaspersky-producten is opgenomen. Deze technologie is ontwikkeld om specifieke bedreigingen te detecteren die zich in het ROM BIOS verbergen, inclusief UEFI-firmwarebeelden. Kaspersky vond een sample van deze malware, gebruikt in een campagne waarin varianten van een complex, meerfase modulair framework werden geïmplementeerd, genaamd MosaicRegressor. Het framework werd gebruikt voor spionage en gegevensverzameling, waarbij UEFI-malware een van de persistentiemethoden was.

Gebaseerd op Vector-EDK-bootkit

De onthulde UEFI-bootkitcomponenten waren sterk gebaseerd op de 'Vector-EDK'-bootkit, ontwikkeld door Hacking Team - waarvan de broncode online werd gelekt in 2015. De gelekte code stelde daders in staat om hun eigen software te bouwen met weinig inspanning én weinig kans op ontdekking.
Hoewel het niet mogelijk was om de exacte infectievector te detecteren, baseert Kaspersky zich op wat er bekend is over VectorEDK. Daaruit is af te leiden dat infecties vermoedelijk mogelijk zijn geweest door fysieke toegang tot de machine van het slachtoffer. Hoogstwaarschijnlijk met een opstartbare USB-sleutel, die een speciaal updateprogramma zou bevatten. De gepatchte firmware zou dan de installatie van een Trojan-downloader vergemakkelijken.

MosaicRegressor-framework

In de meeste gevallen werden MosaicRegressor-componenten echter aan slachtoffers geleverd met veel minder geavanceerde maatregelen. De structuur met meerdere modules van het framework stelde de aanvallers in staat om het bredere framework voor analyse te verbergen en componenten alleen op aanvraag in te zetten op machines. De malware die aanvankelijk op het geïnfecteerde apparaat is geïnstalleerd, is een Trojan-downloader, een programma dat extra payload en andere malware kan downloaden. Afhankelijk van de gedownloade payload, kan de malware willekeurige bestanden van/naar willekeurige URL's downloaden of uploaden en informatie verzamelen van de beoogde machine.

Op basis van de banden met de gevonden slachtoffers konden de onderzoekers vaststellen dat MosaicRegressor werd gebruikt bij een reeks gerichte aanvallen gericht op diplomaten en leden van ngo's uit Afrika, Azië en Europa.

Afbeelding: Voorbeelden van lokdocumenten die zijn gebundeld in kwaadaardige archieven die zijn verzonden naar MosaicRegressor-slachtoffers

Een meer gedetailleerde analyse van het MosaicRegressor-framework en zijn componenten wordt gepresenteerd op Securelist.

Registreer nu voor SAS@Home om de presentatie over MosaicRegressor te bekijken en lees hier meer over APT's en ontdekkingen op het gebied van cyberbeveiliging: https://kas.pr/tr59

Om beschermd te blijven tegen bedreigingen zoals MosaicRegressor, beveelt Kaspersky het volgende aan:
  • Geef uw personeel een basistraining op het gebied van cyberbeveiliging, aangezien veel gerichte aanvallen beginnen met phishing of andere social engineering-technieken.
  • Werk regelmatig uw UEFI-firmware bij en alleen firmware van vertrouwde leveranciers.
  • Geef uw SOC-team toegang tot de nieuwste dreigingsinformatie (TI). De Kaspersky Threat Intelligence Portal is een centraal toegangspunt voor de TI van het bedrijf en biedt cyberaanvalgegevens en inzichten die Kaspersky gedurende meer dan 20 jaar heeft verzameld.
  • Implementeer EDR-oplossingen, zoals Kaspersky Endpoint Detection and Response voor detectie op endpointniveau, onderzoek en tijdige remediëring van incidenten.
Gebruik een robuust product voor eindpuntbeveiliging dat het gebruik van firmware kan detecteren, zoals Kaspersky Endpoint Security for Business.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item
Over Kaspersky
Kaspersky is een wereldwijd opererend cybersecuritybedrijf opgericht in 1997. Zowel consumenten, overheidsinstanties als bedrijven vertrouwen op de uitgebreide expertise op het vlak van dreigingsinformatie en de meest geavanceerde beveiligingsoplossingen en -diensten van Kaspersky ter bescherming van kritieke infrastructuren en (eco)systemen.
Meer over Kaspersky
Disclaimer
Deze content is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als de content een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis de originele content leidend.
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030101402.jpg
De grootste Nederlandse site over Android
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191029200614.jpg
Drive value with data
20191030103431.png
Conference by app developers, for app developers!
© 2019-2022, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.