UEFI-буткит ESPecter бэкдорит Windows с 2012 года

[INC.]

Исследователи из ESET обнаружили новый, никем не описанный буткит для UEFI, который устанавливается в систему посредством компрометации диспетчера загрузки Windows. Как оказалось, зловред, получивший кодовое имя ESPecter, был создан как минимум в 2012 году и вначале был ориентирован на системы с BIOS.

Буткит позволяет установить контроль над процессом загрузки ОС и обеспечивает хакеру очень стойкое присутствие в системе. Тем не менее, злоумышленники редко применяют такие инструменты: их создание требует хорошей технической подготовки. До находки ESET специалистам по ИБ были известны только четыре случая использования буткита в атаках: Lojax, MosaicRegressor, безымянные модули TrickBot и FinSpy.

Вредонос ESPecter, по словам экспертов, был обнаружен на взломанной машине вместе с клиентским компонентом, обладающим функциями кейлоггера и инфостилера. По всей видимости, атака была проведена с целью шпионажа.

Исследование показало, что новый буткит может устанавливаться в систему двумя способами: посредством подмены главной загрузочной записи на диске (в Legacy-режиме) или через патчинг диспетчера загрузки Windows (bootmgfw.efi).

Версия ESPecter, внедряемая в системный раздел EFI, готовит рабочую среду для целевого зловреда, загружая собственный драйвер режима ядра, способный обойти обязательную проверку цифровой подписи. Этот драйвер, в свою очередь, загружает два компонента режима пользователя — WinSys.dll и Client.dll.

Первый отвечает за сбор информации о зараженной системе и обновление данных конфигурации. Второй работает как бэкдор; он умеет по команде фиксировать клавиатурный ввод, воровать документы, делать снимки экрана, а также автоматически выводить собранную информацию на свой сервер.

Модификация bootmgfw.efi, по свидетельству ESET, возможна только при отключенном режиме безопасной загрузки. Чтобы деактивировать Secure Boot, злоумышленник должен иметь физический доступ к компьютеру либо использовать какую-то уязвимость в прошивке UEFI.

Каким именно образом был внедрен найденный ESPecter, установить не удалось. Во избежание подобных атак эксперты советуют по возможности придерживаться следующих правил:

* использовать только новейшую версию прошивки;

* следить за настройками системы;

* ужесточить контроль доступа к привилегированным аккаунтам;

* не отключать режим Secure Boot.

• Source: https://www.welivesecurity.com/2021/10/05/uefi-threats-moving-esp-introducing-especter-bootkit/

 

[tabac]

После начала процесса установки начальные компоненты ESPecter изменяют компонент Windows Boot Manager и обходят Windows Driver Signature Enforcement (DSE), чтобы загрузить и запустить неподписанный вредоносный драйвер — фактическую полезную нагрузку буткита ESPecter.

 

[KAJIT]

А есть у кого сэмплы погонять? не?

 

[yashechka]

Ха-ха, вот Вам и супер защита и секьюрити бут и уефи и подписи драйверов.

 

[KAJIT]

положу это тут.

UEFI Bootkit Comparison​

TAU analyzed the known UEFI bootkit samples in the wild (LoJax, MosaicRegressor, and TrickBoot) and summarized the characteristics, as displayed in Table 1. We also included the Hacking Team’s Vector-EDK bootkit in the table as the leaked source code has been heavily reused by the threat actors.

	Hacking Team’s Vector-EDK (source code leakage)	Sednit’s LoJax	MosaicRegressor	TrickBoot
UEFI bootkit type	DXE driver (unsigned)	DXE driver (unsigned)	DXE driver (unsigned)	N/A (reconnaissance only)
callback event	EFI_EVENT_GROUP_READY_TO_BOOT	EFI_EVENT_GROUP_READY_TO_BOOT	EFI_EVENT_GROUP_READY_TO_BOOT	N/A
OS-level executables for installation	N/A	info_efi.exe: application for UEFI firmware reconnaissance, ReWriter_read.exe: application dumping SPI flash memory, ReWriter_binary.exe: application adding SecDxe.efi to UEFI firmware	N/A	PermaDll (user_platform_check.dll): TrickBot UEFI firmware reconnaissance module
UEFI bootkit modules	Ntfs.efi: DXE driver for NTFS filesystem read/write, rkloader.efi: DXE driver setting a callback for fsbg.efi, fsbg.efi: UEFI application running the main bootkit code, ReSetfTA.efi: UEFI application resetting the infection marker for debug	SecDxe.efi: bootkit DXE driver with Ntfs.efi	Ntfs.efi: DXE driver for NTFS filesystem read/write, SmmInterfaceBase.efi: DXE driver setting a callback for SmmAccessSub.efi, SmmAccessSub.efi: UEFI application running the main bootkit code, SmmReset.efi: UEFI application resetting the infection marker for debug (actually not used)	N/A
target hardware platform	N/A	misconfigured or fairly old systems (on motherboards older than Platform Controller Hub chipsets introduced around 2008) without the SMM_BWP configuration bit	N/A	all Intel-based systems produced in recent years (since 2014)
reconnaissance	N/A	BIOS control register LE/WPD(WE)/EISS(SMM_BWP) bits, SPI Protected Ranges (PR registers PR0–PR4), NVRAM UEFI variables “SecureBoot/SetupMode/AcpiGlobalVariable” (SeSystemEnvironmentPrivilege required), etc.	N/A	VendorID/DeviceID/RevisionID from CPU Root Complex and PCH LPC Interface, BIOS control register LE/WPD/EISS bits, SPI Protected Ranges (PR registers PR0–PR4)
installation technique	N/A	changing BIOS control register, exploiting vulnerabilities: VU#766164, CVE-2017-3197 (potentically)	N/A	changing BIOS control register (the code contains bugs)
OS infection marker	NVRAM UEFI variable “fTA” = 1	N/A	\Windows\setupinf.log	N/A
OS persistence technique	Startup folder	registry value “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute” = ‘autocheck autoche *’ (offline detection only)	Startup folder	N/A
code reuse	N/A	RWEverything kernel driver (RwDrv.sys), Hacking Team’s Ntfs.efi: the inline DXE driver is 93% matched	Hacking Team’s Ntfs.efi: the same named module is 98% matched, rkloader.efi: SmmInterfaceBase.efi is 99% matched, fsbg.efi: SmmAccessSub.efi is 39% matched	RWEverything kernel driver (RwDrv.sys), fwexpl_app_i386.exe (open-source application using RwDrv.sys): PermaDll32 is 23% matched
obfuscation/compression	N/A	Tiano compression (SecDxe.efi)	N/A	ADVobfuscator for strings (PermaDll), single-byte xor (RwDrv.sys)

Table 1: UEFI Bootkit Comparison
сорец - https://blogs.vmware.com/security/2021/06/detecting-uefi-bootkits-in-the-wild-part-1.html

 

[KAJIT]

безымянные модули TrickBot и FinSpy.

FinFisher (also known as FinSpy and Wingbird) is a surveillance solution developed by Gamma Group that also comes with malware-like capabilities often found in spyware strains.
ps - bleepingcomputer

>>> https://malpedia.caad.fkie.fraunhofer.de/details/win.finfisher
[ по линку подборка статей на тему finfisher\FinSpy
FinFisher is a commercial software used to steal information and spy on affected victims. It began with few functionalities which included password harvesting and information leakage, but now it is mostly known for its full Remote Access Trojan (RAT) capabilities. It is mostly known for being used in governmental targeted and lawful criminal investigations. It is well known for its anti-detection capabilities and use of VMProtect.

>>> https://www.gammagroup.com/
The Gamma Group team has been supporting government agencies since the 1990s in their operational needs by providing turnkey telecommunications solutions, expertise and consultancy as well as specialized government training courses. Operating out of our headquarters in the United Kingdom, where our state-of-the-art training facility is located, and supported by technical and sales offices in Europe, Africa, the Middle East, and Asia, we support our customers by providing consulting and professional services and addressing customer needs through comprehensive and bespoke solutions.

The world is becoming increasingly digitized with threats coming in all shapes and forms. New communications technologies are being developed at lightning speed and criminals are exploiting them at a faster pace than law enforcement agencies can cope with. Crimes not only pervade the streets but are steadily invading the cyber world. The driving force for our team and our partners is to provide solutions to help identify, prevent and neutralize these threats.