Total Pageviews

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.

MoonBounce: o terceiro bootkit de firmware que ameaça dispositivos

MoonBounce: o terceiro bootkit de firmware que ameaça dispositivos
Share it:
Os investigadores da Kaspersky descobriram o terceiro caso de um bootkit de firmware. Apelidado de MoonBounce, este implante malicioso tende a estar escondido no Unified Extensible Firmware Interface (UEFI) de um computador, uma parte essencial destes dispositivos - no flash SPI - um componente de armazenamento externo ao disco rígido. Estes implantes são extremamente difíceis de remover e têm uma visibilidade limitada para os serviços de segurança. Tendo aparecido, pela primeira vez, na primavera de 2021, o MoonBounce demonstra um fluxo de ataque sofisticado, com uma evolução evidente em comparação com os bootkits de firmware UEFI reportados anteriormente. Os investigadores da Kaspersky atribuíram o ataque ao conhecido ator de ameaças persistentes avançadas, APT41.
MoonBounce: o terceiro bootkit de firmware que ameaça dispositivos
O firmware UEFI é um componente crítico na grande maioria das máquinas; o código é responsável por arrancar o dispositivo e passar o controlo para o software que carrega o sistema operativo. Este código encontra-se no que é chamado de SPI flash, um armazenamento não volátil externo ao disco rígido. Se este firmware contiver código malicioso, então o respetivo código será lançado antes do sistema operativo, o que torna o malware implantado por um bootkit de firmware especialmente difícil de apagar - só pode ser removido através da reformatação do disco rígido ou da reinstalação do SO. Além disso, como o código está localizado fora do disco rígido, a atividade destes bootkits passa praticamente despercebida pela maioria das soluções de segurança, a menos que tenham uma funcionalidade que faça uma análise específica a esta parte do dispositivo.

O MoonBounce é o terceiro bootkit UEFI encontrado em dispositivos. Foi detetado pela primeira vez durante a primavera de 2021 por investigadores da Kaspersky enquanto analisavam a atividade do seu Firmware Scanner, que tem sido incluído nos produtos Kaspersky desde o início de 2019, para detetar especificamente ameaças escondidas na BIOS ROM, incluindo imagens de firmware UEFI. Quando comparado com os dois bootkits descobertos anteriormente, o LoJax e o MosaicRegressor, o MoonBounce demonstra uma melhoria significativa em relação aos seus “irmãos”, apresentado um fluxo de ataque mais estratégico e uma sofisticação técnica mais apurada.

O implante instala-se na componente CORE_DXE do firmware, a qual é iniciada durante a sequência de arranque UEFI. Depois, através de uma série de ganchos que intercetam certas funções, os componentes do implante entram no sistema operativo, onde chegam a um servidor de Controlo & Comando, a fim de recuperar mais ficheiros maliciosos úteis, que não fomos capazes de resgatar. Vale a pena ter em conta que a própria cadeia de infeção não deixa quaisquer vestígios no disco rígido, uma vez que os seus componentes operam apenas ao nível da memória, facilitando assim um ataque sem ficheiro com uma pegada digital quase inexistente.

Ao analisar o MoonBounce, os investigadores da Kaspersky descobriram vários carregadores maliciosos e malware de pós-exploração em várias ligações da mesma rede. Entre eles incluem-se o ScrambleCross ou o Sidewalk, um implante em memória que pode comunicar com um servidor C2 para trocar informações e executar plugins adicionais - o Mimikat_ssp - uma ferramenta de pós-exploração disponível e utilizada para eliminar credenciais e elementos de segurança, um backdoor Golang anteriormente desconhecido, e o Microcin, um malware que é tipicamente utilizado pelo SixLittleMonkeys.

O vetor exato da infeção permanece desconhecido, mas assume-se que a infeção ocorre através do acesso remoto à máquina “alvo”. Além disso, enquanto o LoJax e o MosaicRegressor utilizaram adições de controladores DXE, o MoonBounce modifica um componente de firmware existente para um ataque mais subtil e furtivo.

Na campanha global contra a rede em questão, era evidente que os atacantes levaram a cabo uma vasta gama de ações, tais como o arquivo de ficheiros e a recolha de informação de rede. Os métodos utilizados pelos atacantes durante toda a sua atividade sugerem que estavam interessados no movimento lateral e na infiltração de dados, e tendo sido utilizado um implante UEFI, é provável que os atacantes estivessem interessados em conduzir uma atividade de espionagem contínua.

Os investigadores da Kaspersky atribuíram o MoonBounce à APT41, que tem sido amplamente divulgada como sendo uma ciberameaça de língua chinesa que tem conduzido campanhas de ciberespionagem e cibercriminalidade em todo o mundo, pelo menos desde 2012. Além disso, a existência de alguns dos malwares acima mencionados na mesma rede sugere uma possível ligação entre a APT41 e outros atores de ameaças de língua chinesa.

Até agora, o bootkit de firmware só foi encontrado num único momento. Contudo, foram encontradas outras amostras maliciosas afiliadas (por exemplo, o ScrambleCross e respetivos carregadores) nas redes de várias outras vítimas.

"Embora não possamos ligar definitivamente os implantes malware adicionais encontrados durante a nossa investigação especificamente ao MoonBounce, parece que alguns agentes de ameaça de língua chinesa estão a partilhar ferramentas entre si para se entreajudarem nas suas várias campanhas; parece haver especialmente uma ligação de baixa confiança entre MoonBounce e Microcin", comenta Denis Legezo, Investigador de Segurança Sénior da GReAT da Kaspersky.

"Este último bootkit UEFI mostra evoluções consideráveis quando comparado com o MosaicRegressor, que relatámos em 2020. De facto, transformar um componente central anteriormente benigno no firmware num componente que consegue facilitar a implantação de malware no sistema é uma inovação que não era vista em bootkits de firmware do passado e que torna a ameaça muito mais furtiva. Previmos em 2018 que as ameaças UEFI iriam ganhar popularidade, e esta tendência parece estar a materializar-se. Não nos surpreenderia se encontrássemos mais bootkits em 2022. Felizmente, os fornecedores começaram a prestar mais atenção aos ataques de firmware, e tecnologias de segurança de firmware, tais como BootGuard e Trusted Platform Modules, estão a ser adotadas de forma gradual", comenta Mark Lechtik, Investigador de Sénior da GReAT da Kaspersky.

Para mais informações sobre o MoonBounce, clique aqui.

De forma a manter-se seguro de bootkits UEFI como o MoonBounce, a Kaspersky recomenda:
  • Proporcionar à sua equipa SOC o acesso às últimas informações sobre threat intelligence (TI). O Kaspersky Threat Intelligence Portal é um ponto de acesso único para a TI da empresa, fornecendo dados de ciberataque e insights recolhidos pela Kaspersky ao longo de mais de 20 anos;
  • Para deteções ao nível de endpoint, investigação e remediação atempada de incidentes, implementar soluções EDR, como o Kaspersky Endpoint Detection and Response;
  • Utilizar um produto de segurança de endpoint robusto que possa detetar o uso de firmware, como o Kaspersky Endpoint Security for Business;
  • Atualizar regularmente o seu firmware UEFI e utilizar apenas firmware de fornecedores de confiança.
  • Ativar o Secure Boot por defeito, nomeadamente BootGuard e TPMs, onde seja aplicável.
Share it:

info

Post A Comment:

0 comments: