แคสเปอร์สกี้พบมัลแวร์ซุกซ่อนใน UEFI bootkit
นักวิจัยของแคสเปอร์สกี้ได้เปิดเผยแคมเปญการจารกรรมภัยคุกคามต่อเนื่องขั้นสูง (APT) ที่ใช้มัลแวร์ประเภทที่ไม่ค่อยพบเห็นบ่อยนักซึ่งเรียกว่าเฟิร์มแวร์บูตคิต (firmware bootkit) ตรวจพบมัลแวร์ใหม่โดยเทคโนโลยีการสแกน UEFI / BIOS ของแคสเปอร์สกี้ซึ่งตรวจจับภัยคุกคามที่รู้จักและไม่รู้จัก เทคโนโลยีการสแกนระบุมัลแวร์ที่ไม่รู้จักใน Unified Extensible Firmware Interface (UEFI) ซึ่งเป็นส่วนสำคัญของอุปกรณ์คอมพิวเตอร์สมัยใหม่ ทำให้ตรวจจับและนำมัลแวร์ออกจากอุปกรณ์ได้ยากมาก UEFI bootkit ที่ใช้กับมัลแวร์เป็น bootkit ของกลุ่มแฮกกิ้งทีม (Hacking Team) ซึ่งรั่วไหลในปี 2015
เฟิร์มแวร์ UEFI เป็นส่วนสำคัญของคอมพิวเตอร์ซึ่งจะเริ่มทำงานก่อนระบบปฏิบัติการและโปรแกรมทั้งหมดที่ติดตั้งไว้ หากเฟิร์มแวร์ UEFI ได้รับการแก้ไขให้มีโค้ดที่เป็นอันตราย โค้ดนั้นจะถูกเรียกใช้ก่อนระบบปฏิบัติการ ทำให้โซลูชั่นความปลอดภัยอาจมองไม่เห็นกิจกรรมร้ายต่างๆ เฟิร์มแวร์นั้นอยู่ในชิปแฟลชที่แยกจากฮาร์ดไดรฟ์ทำให้การโจมตี UEFI นั้นหลีกเลี่ยงได้และมีความต่อเนื่องเป็นพิเศษ - การติดเฟิร์มแวร์โดยพื้นฐานแล้วหมายความว่าไม่ว่าระบบปฏิบัติการจะติดตั้งใหม่กี่ครั้งก็ตาม มัลแวร์ที่ติดตั้งโดย bootkit จะยังคงอยู่ในอุปกรณ์
นักวิจัยของแคสเปอร์สกี้พบตัวอย่างของมัลแวร์ดังกล่าวที่ใช้ในแคมเปญที่ปรับใช้รูปแบบของเฟรมเวิร์กโมดูลาร์ที่ซับซ้อนหลายขั้นตอนที่ชื่อว่า “MosaicRegressor” เฟรมเวิร์กนี้ใช้สำหรับการจารกรรมและรวบรวมข้อมูลโดยมัลแวร์ UEFI เป็นหนึ่งในวิธีการของมัลแวร์ตัวใหม่ที่ไม่รู้จักมาก่อน
ส่วนประกอบ UEFI bootkit ที่เปิดเผยนั้นมีพื้นฐานมาจาก bootkit 'Vector-EDK' ที่พัฒนาโดยกลุ่มแฮกกิ้งทีม และซอร์สโค้ดที่รั่วไหลทางออนไลน์ในปี 2015 โค้ดที่รั่วไหลออกมาส่วนใหญ่จะอนุญาตให้ผู้กระทำผิดสร้างซอฟต์แวร์ของตนเองโดยใช้ความพยายามในการพัฒนาเพียงเล็กน้อย และลดความเสี่ยงในการเปิดเผยตัว
การโจมตีนี้ถูกค้นพบด้วยความช่วยเหลือของเทคโนโลยี Firmware Scanner ซึ่งรวมอยู่ในผลิตภัณฑ์ของแคสเปอร์สกี้ตั้งแต่ต้นปี 2019 เทคโนโลยีนี้ได้รับการพัฒนาเพื่อตรวจจับภัยคุกคามที่ซ่อนอยู่ใน ROM BIOS รวมถึงอิมเมจเฟิร์มแวร์ UEFI
แม้ว่าจะไม่สามารถตรวจจับเวกเตอร์การติดเชื้อที่ทำให้ผู้โจมตีสามารถเขียนทับเฟิร์มแวร์ UEFI ดั้งเดิมได้ นักวิจัยของ แคสเปอร์สกี้ก็ได้สรุปวิธีการโดยวิเคราะห์จากข้อมูลที่มีเกี่ยวกับ VectorEDK จากเอกสารของกลุ่มแฮกกิ้งทีม บ่งชี้ว่าการติดเชื้ออาจผ่านไปยังเครื่องของเหยื่อด้วยวิธีกายภาพ โดยเฉพาะด้วยคีย์ USB ที่สามารถบู๊ตได้ ซึ่งจะมียูทิลิตี้การอัปเดตพิเศษ จากนั้นเฟิร์มแวร์ที่ได้รับการแก้ไขแล้วจะอำนวยความสะดวกในการติดตั้งโปรแกรมดาวน์โหลดโทรจัน - มัลแวร์ที่ช่วยให้สามารถดาวน์โหลดเพย์โหลดที่เหมาะสมกับความต้องการของผู้โจมตีเมื่อระบบปฏิบัติการเปิดใช้งาน
อย่างไรก็ตาม ในกรณีส่วนใหญ่ส่วนประกอบของ MosaicRegressor จะถูกส่งต่อไปถึงเหยื่อโดยใช้มาตรการที่ซับซ้อนน้อยกว่ามาก เช่น การส่งดรอปเปอร์ที่ซ่อนอยู่ในไฟล์เก็บถาวรพร้อมกับไฟล์ตัวล่อ โครงสร้างโมดูลหลายโมดูลของเฟรมเวิร์กช่วยให้ผู้โจมตีสามารถปกปิดเฟรมเวิร์กที่กว้างขึ้นจากการวิเคราะห์และปรับใช้ส่วนประกอบไปยังเครื่องเป้าหมายตามต้องการเท่านั้น มัลแวร์ที่ติดตั้งในอุปกรณ์ที่ติดไวรัสในตอนแรกคือโปรแกรมดาวน์โหลดโทรจันซึ่งเป็นโปรแกรมที่สามารถดาวน์โหลดเพย์โหลดเพิ่มเติมและมัลแวร์อื่นๆ ขึ้นอยู่กับเพย์โหลดที่ดาวน์โหลดมัลแวร์สามารถดาวน์โหลดหรืออัปโหลดไฟล์โดยพลการจาก / ไปยัง URL ที่กำหนดเองและรวบรวมข้อมูลจากเครื่องเป้าหมาย
จากความร่วมมือของเหยื่อ นักวิจัยจึงสามารถระบุได้ว่า MosaicRegressor ถูกใช้ในการโจมตีแบบกำหนดเป้าหมายที่มุ่งเป้าไปที่นักการทูตและสมาชิกขององค์กรพัฒนาไม่หวังผลกำไรจากทวีปแอฟริกา เอเชีย และยุโรป การโจมตีบางส่วนเกี่ยวข้องกับเอกสารสเปียร์ฟิชชิ่งในภาษารัสเซีย บางส่วนเกี่ยวข้องกับเกาหลีเหนือและใช้เป็นตัวล่อเพื่อดาวน์โหลดมัลแวร์
ทั้งนี้ แคมเปญนี้ไม่ได้เชื่อมโยงกับผู้ก่อภัยคุกคามขั้นสูงที่เป็นที่รู้จักรายอื่นๆ
ตัวอย่างเอกสารล่อหลอกที่ส่งไปยังเหยื่อของ MosaicRegressor
นายมาร์ค เลคติก นักวิจัยความปลอดภัยอาวุโส ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ กล่าวว่า “แม้ว่าการโจมตีของ UEFI จะเปิดโอกาสมากมายให้กับผู้คุกคาม แต่ MosaicRegressor ก็เป็นกรณีแรกที่ผู้คุกคามใช้เฟิร์มแวร์ UEFI ที่เป็นอันตรายแบบกำหนดเอง การโจมตีก่อนหน้านี้พบได้ในซอฟต์แวร์ที่ถูกต้องตามกฎหมาย (เช่น LoJax) ทำให้นี่เป็นครั้งแรกในการโจมตีโดยใช้ bootkit UEFI ที่กำหนดเอง การโจมตีนี้แสดงให้เห็นว่าผู้ก่อภัยคุกคามพยายามอย่างเต็มที่เพื่อให้อยู่ในระดับคุกคามสูงสุดในเครื่องของเหยื่อ ผู้ก่อภัยคุกคามยังปรับเปลี่ยนชุดเครื่องมือให้สร้างสรรค์มากขึ้นเรื่อยๆ ด้วยวิธีการกำหนดเป้าหมายเหยื่อที่รวมถึงผู้ให้บริการโซลูชั่นรักษาความปลอดภัยด้วย เพราะต้องการล้ำหน้ากว่า โชคดีที่การผสมผสานระหว่างเทคโนโลยีของแคสเปอร์สกี้และความเข้าใจในแคมเปญที่ใช้ประโยชน์จากเฟิร์มแวร์ทั้งอดีตและปัจจุบันช่วยให้เราสามารถตรวจสอบและรายงานการโจมตีที่จะเกิดในอนาคตได้”
นายอิกอร์ คุซเน็ตซอฟ นักวิจัยด้านความปลอดภัย ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ กล่าวว่า “การใช้ซอร์สโค้ดของเธิร์ดปาร์ตี้ที่รั่วไหลและการปรับแต่งให้เป็นมัลแวร์ขั้นสูงตัวใหม่ เป็นการย้ำเตือนความสำคัญของความปลอดภัยของข้อมูลอีกครั้ง เมื่อซอฟต์แวร์ไม่ว่าจะเป็นบูตคิตมัลแวร์หรืออย่างอื่นได้รั่วไหลออกไป ผู้ก่อภัยคุกคามจะได้รับประโยชน์อย่างมาก เครื่องมือที่พร้อมใช้งานฟรีช่วยให้มีโอกาสที่จะพัฒนาและปรับแต่งชุดเครื่องมือได้โดยใช้ความพยายามน้อยลงและลดโอกาสในการตรวจพบ”
ท่านสามารถอ่านรายละเอียดการวิเคราะห์เฟรมเวิร์กและส่วนประกอบของ MosaicRegressor ได้ที่ https://securelist.com/mosaicregressor/98849/
แคสเปอร์สกี้ขอแนะนำวิธีการเพื่อป้องกันภัยคุกคามอย่าง MosaicRegressor ดังนี้
• จัดให้ทีม SOC สามารถเข้าถึงข้อมูลภัยคุกคามล่าสุด Kaspersky Threat Intelligence Portal เป็นจุดบริการที่ผู้ใช้งานสามารถเข้าถึงสิ่งที่ต้องการได้ทั้งหมด (Single point of access) ซึ่งให้ข้อมูลการโจมตีทางไซเบอร์และข้อมูลเชิงลึกที่แคสเปอร์สกี้รวบรวมมานานกว่า 20 ปี
• สำหรับการตรวจจับ การตรวจสอบและการแก้ไขเหตุการณ์ระดับเอ็นด์พอยต์อย่างทันท่วงที แนะนำให้ใช้โซลูชั่น EDR เช่น Kaspersky Endpoint Detection and Response
• จัดให้พนักงานได้รับการฝึกอบรมด้านสุขอนามัยความปลอดภัยทางไซเบอร์ขั้นพื้นฐาน เนื่องจากการโจมตีแบบกำหนดเป้าหมายจำนวนมากเริ่มต้นด้วยฟิชชิงหรือเทคนิควิศวกรรมสังคมอื่น ๆ
• ใช้ผลิตภัณฑ์รักษาความปลอดภัยเอ็นด์พอยต์ที่มีประสิทธิภาพซึ่งสามารถตรวจจับการใช้เฟิร์มแวร์ เช่น Kaspersky Endpoint Security for Business
• อัปเดตเฟิร์มแวร์ UEFI เป็นประจำและซื้อเฟิร์มแวร์จากผู้ขายที่เชื่อถือได้เท่านั้น
ไม่มีความคิดเห็น:
แสดงความคิดเห็น