Rootkit dựa trên phần sụn, mặc dù vẫn còn tương đối hiếm, đang trở nên phổ biến vì chúng cung cấp cho các tác nhân đe dọa một cách để duy trì sự hiện diện liên tục, khó phát hiện và khó xóa trên mạng mục tiêu.
Các nhà nghiên cứu của Kaspersky gần đây đã phát hiện ra ví dụ mới nhất về mối đe dọa như vậy ẩn sâu trong phần sụn Giao diện phần mềm mở rộng hợp nhất (UEFI) của máy tính tại địa điểm của khách hàng. Bộ cấy độc hại, có tên là “MoonBounce”, được cài vào phần sụn UEFI trong bộ lưu trữ flash SPI trên bo mạch chủ của máy tính bị nhiễm, thay vì trên đĩa cứng như một số bộ khởi động UEFI khác. Điều này có nghĩa là phần cấy ghép có thể tồn tại trên hệ thống ngay cả khi ổ cứng đã được định dạng hoặc thay thế, theo Kaspersky.
Bộ cấy được thiết kế để cho phép triển khai thêm phần mềm độc hại trên hệ thống bị xâm nhập. Các thành phần phần mềm độc hại khác trên cùng hệ thống cho thấy MoonBounce đang được sử dụng như một phần của chiến dịch gián điệp mạng rộng hơn mà các nhà nghiên cứu của Kaspersky có thể quy kết với mức độ tin cậy cao cho APT41, một nhóm mối đe dọa dai dẳng nâng cao (APT) nói tiếng Trung Quốc. Kaspersky bị phát hiện mối đe dọa vào cuối năm 2021 và đã báo cáo riêng cho khách hàng sử dụng dịch vụ APT của mình.
Mark Lechtik, nhà nghiên cứu bảo mật cấp cao của nhóm nghiên cứu và phân tích toàn cầu (GReAT) của Kaspersky cho biết: “Chúng tôi đã chọn tiết lộ công khai điều này không lâu sau đó vì chúng tôi tin rằng kiến thức này được chia sẻ với cộng đồng sẽ có giá trị”. Mục tiêu là cho phép những người bảo vệ “hiểu được các cuộc tấn công bằng phần mềm UEFI đã phát triển như thế nào và [để] cho phép các thành viên đội xanh bảo vệ tốt hơn trước loại mối đe dọa này”.
Các máy tính hiện đại sử dụng phần sụn UEFI trong quá trình khởi động. Giao diện chứa thông tin mà máy tính sử dụng để tải hệ điều hành, có nghĩa là bất kỳ mã độc nào trong đó sẽ thực thi trước khi hệ điều hành khởi động. Thực tế này đã khiến firmware UEFI trở thành mục tiêu ngày càng phổ biến đối với những kẻ tấn công muốn ẩn phần cấy ghép khỏi các công cụ phát hiện phần mềm độc hại và duy trì sự tồn tại lâu dài trên các hệ thống bị nhiễm.
Nhà cung cấp bảo mật ESET đã phát hiện ra rootkit cấp phần sụn đầu tiên - được đặt tên là LoJax — vào năm 2018. Phần mềm độc hại này, giống như MoonBounce, đã bị ẩn trong phần sụn UEFI trên flash SPI. Nó được phát hiện trên một hệ thống thuộc một tổ chức mà nhóm Sednit của APT có trụ sở tại Nga đã nhắm mục tiêu như một phần của chiến dịch chống lại các tổ chức chính phủ ở Đông Âu và các khu vực khác.
Kể từ đó, các nhà nghiên cứu bảo mật đã tìm thấy một số rootkit tương tự trong tự nhiên. MoonBounce là trường hợp cấy ghép phần mềm độc hại độc hại thứ ba được biết đến công khai trên flash SPI. Hai cái còn lại là LoJax và KhảmRegressor, mà Kaspersky phát hiện vào năm 2020 đang được sử dụng trong một chiến dịch nhắm vào các tổ chức ngoại giao và phi chính phủ ở Châu Á, Châu Âu và Châu Phi.
Ngoài các rootkit dựa trên phần sụn trên flash SPI, các nhà nghiên cứu đã phát hiện phần mềm độc hại trên các thành phần UEFI trên cái gọi là Phân vùng hệ thống EFI (ESP) thường nằm trong ổ cứng máy tính. Ví dụ về loại rootkit này bao gồm FinSpy, một công cụ giám sát rất khó hiểu mà Kaspersky đã báo cáo vào tháng 9 năm ngoái và ESPectre, một bộ cấy UEFI khác trên ESP của máy tính. ESET được báo cáo vào tháng XNUMX.
Theo Kaspersky, các phần cấy ghép trên phần sụn UEFI trên SPI được ẩn tốt hơn so với các rootkit dựa trên phần sụn trên đĩa cứng. Chúng cũng khó loại bỏ hơn so với rootkit cấp độ ESP, thường có thể bị xóa bằng cách định dạng lại ổ cứng.
Lechtik cho biết MoonBounce phức tạp hơn LoJax và KhảmRegressor do tính chất rất tinh vi của những thay đổi cấp độ nhị phân mà nó tạo ra đối với một thành phần UEFI lành tính. Các thay đổi đưa ra logic để tải phần mềm độc hại trong quá trình khởi động hệ thống, trong khi vẫn giữ nguyên trình tự khởi động.
“Đáng chú ý hơn là nó chỉ thực hiện các thay đổi đối với các thành phần trình tự khởi động trong bộ nhớ, qua đó nó cho phép mã độc lan truyền vào hệ điều hành,” Lechtik nói. Điều này có nghĩa là nó không để lại dấu vết trên đĩa, khiến các cuộc tấn công trở nên lén lút hơn nhiều so với các phiên bản tiền nhiệm.
Lechtik nói rằng để giả mạo UEFI, những kẻ tấn công APT41 cần phải hiểu rõ về trình tự khởi động UEFI và cách triển khai phần sụn mà chúng tấn công dành riêng cho nhà cung cấp. Ngoài ra, nền tảng phần cứng cơ bản cần phải cho phép ghi vào phần sụn - điều này có thể xảy ra nếu có lỗ hổng trong phần sụn.
Lechtik nói: “Trong trường hợp của chúng tôi, những kẻ tấn công đã có sẵn cả hai điều kiện tiên quyết. “Đáng chú ý nhất là họ đã hiểu rõ về phần sụn được nhắm mục tiêu cụ thể, điều này cho thấy họ có quyền truy cập liên tục vào máy bị xâm nhập.”
Giải quyết mối đe dọa
Mối đe dọa ngày càng tăng của các cuộc tấn công cấp phần sụn - 83% tổ chức trong một cuộc khảo sát năm 2021 cho biết họ đã gặp phải một vấn đề - đã thúc đẩy các nhà sản xuất chip, phần cứng và hệ điều hành đưa ra những thay đổi để tăng cường công nghệ của họ trước mối đe dọa. HỘP BẢO MẬT là một ví dụ. Công nghệ này được thiết kế để đảm bảo máy tính khởi động chỉ bằng các phần mềm khởi động đã được ký kết và đáng tin cậy. Các ví dụ khác bao gồm Intel Bảo vệ khởi động để bảo vệ chống lại mối đe dọa từ những kẻ tấn công thực hiện các sửa đổi trái phép đối với phần mềm cấp khởi động và Trusted Platform Module (TPM), một công nghệ hơn 10 năm tuổi nhằm đảm bảo tính toàn vẹn của hệ thống trong quá trình khởi động.
Lechtek nói rằng với MoonBounce, một cơ chế như Secure Boot sẽ trở nên vô dụng.
Ông nói: “Classic Secure Boot không tính đến các thành phần ở cấp độ chương trình cơ sở khi xác thực các thành phần trong trình tự khởi động. “Bản thân MoonBounce không làm gì để vượt qua cơ chế này. Nó chỉ đơn giản là không đưa ra bất kỳ thay đổi nào đối với các hình ảnh được Secure Boot kiểm tra mà chỉ vá sự phản ánh của những hình ảnh này trong bộ nhớ sau khi chúng được tải.”
Tuy nhiên, Boot Guard và TPM sẽ chống lại thành công các sửa đổi cấp độ chương trình cơ sở của MoonBounce, Lechtik nói.
