-->

პირველი UEFI რუთკიტი

10/03/2018   დათო   დააკომენტარე



https://thehackernews.com/2018/09/uefi-rootkit-malware.html

(მასალაში აღწერილი რჩევები და მეთოდები გამოიყენეთ მხოლოდ თქვენი პასუხისმგებლობის ქვეშ. ავტორი პასუხსიმგებლობას იცილებს ნებისმიერ შედეგზე, რომელიც პირდაპირ თუ არაპირდაპირ შეიძლება მიიღოთ ამ სტატიაში მოყვანილი მეთოდების თუ რჩევების  განმეორებით. ამ სტატიაში მოყვანილი მეთოდები სხვაგან არსად არ არის აღწერილი და მხოლოდ ავტორის მოსაზრებას წარმოადგენს)

როგორც იცით, ჩემს ბლოგზე ახალ ვირუსებზე, პროგრამებზე ან ვაუ რა მაგარი აპარატურაა თემებს არ ვხნი ხოლმე, თუნდაც იმიტომ, რომ ეს ინფორმაციები (და მოწყობილობებიც) სწრაფად ძველდება ხოლმე. მაგრამ დღეს განსაკუთრებული შემთხვევაა. :

მოკლე ისტორიას მოვყვები:


დაახლოებით ოცი წლის წინ (1999 წლის 25 აპრილის ღამეს) გაზეთ 11X11 ის რედაქციის კომპიუტერი ერთერთი იყო 60 მილიონ დაზიანებულ კომპიუტერებს შორის.  მაშინაც რეკლამირდებოდა ახალი ტიპის ბაიოსი – ფლეშ ბაიოსი. სიახლეს წარმოადგენდა  ის ფაქტი, რომ ბაიოსის განახლება შესაძლებელია იყო. მანამდე ბაიოსში ინფორმაციის ჩაწერა ან განახლება შეუძლებელი იყო. სწორედ ამ სიახლემ გამოიწვია უპრეცედენტო ზარალი. (ისე მართალაც ძალიან საინტერესოა 1003 ბაიტიანმა პროგრამამ როგორ მოიპოვა ჩაწერის უფლება ბაიოზე  :) ) ამ თემაზე საიუბილეო პოსტს გამოვაცხობ  :)

რაც შეეხება რამდენიმე დღის წინ განვითარებულ მოვლენებს, ეს ისტორიაც გავს ჩერნობილის ვირუსის ისტორიას. ისიც და ესეც აზიანებს ბაიოსს — ანუ აპარატურულ ნაწილს, მაშინაც ახალი ტიპის ბაიოსის რეკლამა ხდებოდა, მაშინაც ეს დაუჯერებელი და პირველი შემთხვევა იყო

თუმცა ESET საიტზე 27 სექტემბერს გამოქვეყნებული სტატიის თანახმად UEFI რუთკიტი ნაპოვნია სისტემაში ისეთ ინსტრუმენტებთან ერთად, რომლებსაც შეუძლიათ მსხვერპლის დაბალი დონის სისტემური განახლების (Patch) შეცვლა. (ანუ მავნე პროგრამების შემქნელებმა მინიმუმ ერთხელ მაინც შეძლეს სისტემის SPI ფლეშ მახსოვრობაში UEFI მოდულის დამაზიანებელი კოდის ჩაწერა, რამაც გამოიწვია სისტემის ჩამოშლა და ჩატვირთვის დროს დისკზე მავნე კოდის შესრულება.

რითია საყურადღებო ასეთი მეთოდი? ჯერ ერთი, მავნე პროგრამების მიერ აპარატურის დაზიანება საკმაოდ იშვიათია (რამდენადაც მე ვიცი, სულ თითზე ჩამოსათვლელია ასეთი ვირუსები), და მათთან ბრძოლა სტანდარტული წესებით შეუძლებელია. ამის ახსნა ადვილია. დავირუსებულ სისტემებზე ვირუსის მოცილების უკანასკნელი გზა დაბალი დონის ფორმატირებაა. (ასევე ჩემს პრაქტიკაში არ შემხვედრია მავნე პროგრამა, რომელიც MBR წაშლის შემდეგ კვალავ დარჩენილა ვინტზე). მაგრამ აღნიშნული ვირუსის შემთხვევაში ხვდებით ალბათ, რომ ვირუსის წყაროს UEFI წარმოადგენს, და სისტემის ინფიცირება ყოველ ჩატვირთვაზე ხდება.

ასეთი სისტემის გამოჯანმრთელების ერთადერთი გზა დაფორმატებასთან ერთად სუფთა ჩამტვირთველი მოწყობილობიდან UEFI ჩანაწერის განახლებაა. ეს პროცესი კი ვინდოუსის გადაყენებაზე გაცილებით მეტ ცოდნას მოითხოვს. მე ამ ვირუსთან შეხება არ მქონია და არ ვიცი, რამდენად ავია, მაგრამ სავარაუდოდ, თუ ჩვეულებრივ ფლეშ მახსოვრობიდან ეცდებით ჩატვირთვას და განახლებას, ჩატვირთვისთანავე თქვენი მახსოვრობა (ფლეშ) კვლავ დაინფიცირდება.

გამოსავალი ასეთ სიტუაციაში შეიძლება იყოს ფლეშ მახსოვრობები, რომელთაც ჩაწერისგან დაცვის მექანიკური გადამრთველი აქვთ.  


რუთკიტს იყენებს მოწინავე მუდმივი საშიშროებების (Advanced Persistent Threat) ჯგუფი Fancy Bear, იგივე Sednit, APT28, STRONTIUM, და Sofacy.

APT არსებობას მინიმუმ 2004 წლიდან ითვლის. რამდენადაც ცნობილია, ამ ჯგუფს რუსული სახელმწიფო ინსტიტუტები მხარს უმაგრებენ. (ზოგიერთი მონაცემით რუსეთის მთავარი სადაზვერვო სამსახურის, რუსეთის საიდუმლო სამხედრო დაზვერვის სააგენტოს ერთ-ერთი განყოფილებაა). მათთან ასოცირდება შეტევა აშშ საპრეზიდენტო არჩევნების დროს დემოკრატიულ ნაციონალურ პარტიაზე (US DNC), საერთაშორის ანტიდემპინგურ სააგენტოზე (WADA), ათლეტიკის ფედერაციოების ასოციაციაზე (IAAF), გერმანიის მთავრობაზე და უკრაინის სამხედროებზე.

2018 წლის მაიკროსოფტის BlueHat კონფერენციაზე ESET მიერ წარმოდგენილ კვლევაში ასევე აღნიშნულია რომ APT LoJax-ს (ასე უწოდეს ახალ რუთკიტს) ევროპის სამთავრობო ორგანიზაციების წინააღმდეგაც იყენებს.       

რაც შეეხება სახელს, მაისში Arbor Networks-მა გამოაქვეყნა კვლევა, რომლის თანახმადაც ლეპტოპების არასტანდარტული გზით მონაცემების აღსადგენად რეკომენდებული იყო Absolute Software's LoJack  

რუთკიტის ავტორებმა ეს პროგრამა გააყალბეს კონფიგურაციის ფაილის ცვლილებით მცირე აგენტი rpcnetp.exe   Absolute Software-ის კანონიერი სერვერის მაგივრად Fancy Bear-ის მართვის ქვეშ მყოფ სერვერს უკავშირდება. 

რეალური პროგრამა სერვერს უკავშირდება პატრონის გასაფრთხილებლად, რომ მოწყობილობა დაკარგულია ან მოპარული. შედეგად მფლობელს შეუძლია დისტანციურად სისტემის ბლოკირება ან ფაილების წაშლა. 

მოდიფიცირებული ვერსიას კი LoJax დაარქვეს, რათა ორიგინალი პროგრამული პაკეტისგან განესხვავებინათ.

შემდეგ ESET გვერდზე დეტალურად არის აღწერილი რუთკიტის მუშაობის სქემა.



როგორ დავიცვათ თავი?


პირველ რიგში დარწმუნდით, რომ თქვენი კომპიუტერის UEFI კონფიგურაციაშია ჩართულია დაცული ჩატვირთვის რეჟიმი (Secure boot enable)

თუ შესაძლებელია განაახალეთ თქვენი კომპიუტერის UEFI პროგრამა, თუმცა შესაძლებელია, რომ თქვენი დედადაფის მწარმოებელი უკვე არ ახდენს ამ მოდელის მხარდაჭერას.

 რა გავაკეთო თუ ინფიცირებული ვარ?

ასეთ შემთხვევაში (ზემოთაღწერილი მუშაობის მექანიზმიდან გამომდინარე), ოპერაციული სიტემის გადაყენება,  ვინჩესტერის სრული ფორმატირება ან შეცვლაც კი საკმარისი არ არის. ერთადერთი გზა SPI ფლეშ მახსოვრობის დანახლებაა, სადაც UEFI ცხოვრობს. თუმცა ეს პროცედურა არც ისე ადვილია და სპეციფიკურ ცოდნას, აპარატურულ და პროგრამულ უზრუნველყოფას მოითხოვს. ამასთან  ყველა დედადაფას შეიძლება განსხვავებული მეთოდი ჰქონდეს.

და ექსკლუზიური მეთოდი, რომელიც ჩემი და დიმა რუხაძის მიერ იქნა გამოყენებული 1999 წელს ჩერნობილის პირველი შეტევის დროს:

  • მოძებნეთ თქვენი მაზერბორდის ზუსტი ანალოგი დაუინფიცირებელი მაზერი;
  • გამორთული კომპიუტერიდან ამოიღეთ UEFI (ბაიოსის) ჩიპი. (ეს ჩიპი უმეტეს მოდელებზე მირჩილული არ არის )


  • ჩიპის ქვეშ მოათავსეთ ძაფი ან თევზსაჭერი წვრილი ძუა.
  • ჩიპი დააბრუნეთ თავის ადგილზე. (ძაფი გჭირდებათ იმისთვის, რომ გაგიადვილდეთ ჩიპის ამოღება) 
  • ასევე დავირუსებული კომპიუტერიდან ამოიღეთ UEFI (BIOS) ჩიპი
  • (ვინჩესტერიდან უნდა წაშალოთ აგრეთვე ინფიცირებული ფაილი. (უმჯობესია ვინჩესტერი დააფორმატოთ დაბალ დონეზე.
  • ჩართეთ კომპიუტერი
  • ჩაიტვირთეთ სპეციალური ჩამტვირთველი დისკიდან სადაც ჩაწერილი იქნება UEFI პროგრამის ასლის გასაკეთებლი პროგრამა.
  • ამ პროგრამის დახმარებით დისკზე გადაწერეთ UEFI კოდი
  • ძაფის დახმარებით კომპიუტერის გამოურთავად ამოიღეთ UEFI ჩიპი
  • ძაფი დააბრუნეთ თავის ადგილას
  • ჩასვით დაზიანებული ჩიპი ჩართულ კომპიუტერზე (მთელი ამ ხნის განმავლობაში კომპიუტერი არ უნდა გამორთოთ)
  • დაზიანებულ ჩიპზე გადაწერეთ საღი UEFI პროგრამა
  • ამოიღეთ ჩიპი, მოაცილეთ ძაფი (ძუა) და ამ მაზერზე დააბრუნეთ საღი ჩიპი.
  • გამორთეთ კომპიუტერი
  • დაზიანებულ მაზერში ჩასვით განახლებული ჩიპი :) და ააწყვეთ კომპიუტერი
კიდევ ერთი ვარიანტი რა თქმა უნდა ახალი მაზერბორდის შეძენაა. (ჩემი და დიმას გარადა, 1999 წელს მთელი სამყარო ასეც მოიქცა)


ESET განცხადებით მათ პროგრამას არ შეუძლია ვირუსის წაშლა UEFI-დან. (თუმცა წაშლის ვარიანტი მე უკვე აღვწერე)
 
უფასო სკანერი ჩამოტვირთეთ აქედან (ტრიალ ვერსია)

და ბოლოს, თუ გექნებათ კითხვები აუცილებლად მომწერეთ კომენატებში, შეგიძლიათ კომენტარებში გამოხატოთ თქვენი მადლიერება ან საყვედურები  :)

მსგავსი თემები:

0 კომენტარი :

გააკეთეთ კომენტარი

იყიდეთ ბითკოინი საკრედიტო ბარათით