Новый модуль TrickBot способен искать уязвимости в UEFI

Разработчики ботнета TrickBot создали новый модуль, который может искать уязвимости в UEFI (Extensible Firmware Interface) — интерфейсе между операционной системой и прошивкой, управляющей низкоуровневыми функциями оборудования.

Имея доступ к прошивке UEFI, злоумышленник может установить на скомпрометированном компьютере персистентность, чтобы защититься от переустановки операционной системы или замены накопителей. Вредоносный код, внедренный в прошивку, невидим для защитных решений, работающих поверх операционной системы, потому что он загружается на самом раннем этапе загрузки компьютера. Такой код позволяет контролировать процесс загрузки операционной системы и саботировать защиту на более высоком уровне. Поскольку код выполняется на самой ранней стадии, механизм Secure Boot не помогает, так как он зависит от целостности прошивки.

В совместном отчете специалисты из Advanced Intelligence (AdvIntel) и Eclypsium, представили технические подробности нового компонента TrickBot. TrickBoot — средство разведки, проверяющее наличие уязвимостей в прошивке UEFI зараженного устройства. Пока проверка нацелена только на платформы Intel (Skylake, Kaby Lake, Coffee Lake, Comet Lake). Новый модуль проверяет, активна ли защита от записи UEFI/BIOS, с помощью драйвера RwDrv.sys от RWEverything (бесплатная утилита, обеспечивающая доступ к аппаратным компонентам.

«Все запросы к прошивке UEFI, хранящейся в микросхеме флэш-памяти SPI, проходят через контроллер SPI, который является частью семейства Platform Controller Hub (PCH) на платформах Intel. Этот контроллер SPI включает механизмы контроля доступа, которые можно заблокировать во время процесса загрузки, чтобы предотвратить несанкционированное изменение прошивки UEFI, хранящейся в микросхеме флэш-памяти SPI», — пояснили эксперты.

По словам исследователей, защита от записи BIOS/UEFI доступна на современных системах, но эта функция часто не активна или настроена неправильно, что позволяет злоумышленникам изменить прошивку или удалить ее, чтобы заблокировать устройство.

Последствия, связанные с получением злоумышленником такой персистентности на устройстве, чрезвычайно опасные, особенно в случае TrickBot. Помимо использования имплантатов UEFI в качестве рычага в переговорах по увеличению цены выкупа, киберпреступники могут сохранить доступ к машинам даже после того, как жертва заплатит им за доступ к взломанным системам.

После того как жертва завершит процессы очистки и восстановления, преступники могут воспользоваться своей персистентностью для запуска новой атаки. Они также могут похитить вновь установленные учетные данные и продать их другой группировке.