Image
28.12.2017 0 Comments

Bootkity útočia na UEFI vášho počítača ešte pred nábehom OS

Súboj medzi škodlivým softvérom a riešeniami na ochranu počítačov prebieha v niekoľkých rovinách a jedno z kľúčových kritérií je, komu sa podarí skôr ovládnuť počítač, najlepšie ihneď po zapnutí, ešte pred nábehom operačného systému, v rámci ktorého sa aktivujú jednak nástroje ako Firewall či Windows Defender, ako aj klasické bezpečnostné a antimalvérové riešenia. Škodlivý softvér, ktorý infikuje UEFI  a snaží sa fungovať čím skôr po zapnutí, sa nazýva bootkit alebo rootkit. Bootkity sa spúšťajú ešte pred načítaním operačného systému, aby mohli v súlade so zámerom ich tvorcov  modifikovať komponenty operačného systému a zmeniť ich fungovanie.

Bootkity útočia okamžite po zapnutí počítača

Bootkity sú obzvlášť nebezpečné, pretože tým, že sa spustili na začiatku bootovania systému, môžu zostať skryté a dokážu prežiť aj pre ostatné formy škodlivého softvéru takú fatálnu udalosť, ako je preformátovanie pevného disku alebo preinštalovanie operačného systému. Táto vlastnosť je v súčasnosti pre tvorcov malvéru veľká motivácia, pretože veľa používateľov sa snaží zrýchliť svoje rok či dva roky staré počítače tým, že v nich vymenia mechanický pevný disk za polovodičový a pri tejto príležitosti na nový disk nanovo nainštalujú operačný systém. Tým sa v niektorých prípadoch bez toho, aby o tom vedeli, zároveň zbavia aj klasického škodlivého softvéru. Bootkity však takéto preinštalovanie prežijú bez najmenšej ujmy. Týmto spôsobom môže útočník na infikovanom zariadení modifikovať systémové súbory, sledovať dáta, vytvárať skryté úložné priestory, spúšťať externý operačný systém a zneužívať elektronický podpis, teda viac-menej kompletne prevziať kontrolu nad systémom.

UEFI

Skratka UEFI (Unified Extensible Firmware Interface) označuje softvérové rozhranie najnižšej úrovne – architektonickú medzivrstvu medzi operačným systémom a firmvérom hardvérových komponentov. Je to náhrada BIOS-u v moderných základných doskách počítačov. Najskôr vysvetlíme rozdiel medzi BIOS a UEFI. BIOS je celý uložený v malej prepisovateľnej pamäti priamo na základnej doske. Po zapnutí počítača inicializuje hardvérové komponenty a načíta firmvér ich základných ovládačov. V spúšťacom sektore MBR (Master Boot Record) bootovacieho disku spustí zavádzaciu rutinu operačného systému. UEFI takisto inicializuje hardvér a načíta ovládače a následne prejde do špeciálneho malého diskového oddielu nazývaného  Extensible Firmware Interface System Partition (ESP). Tento oddiel je naformátovaný ako FAT32 a má veľkosť 100 až 250 MB, takže sa nájde priestor aj na potenciálny škodlivý kód. ESP obsahuje aj ovládače hardvéru a nové verzie Windows do tejto oblasti ukladajú celú vrstvu najnižšej úrovne HAL (Hardware Abstraction Layer). UEFI disponuje  funkciou Secure Boot, ktorá umožňuje štart systému iba s použitím certifikovaných softvérových komponentov. Pri ich zavádzaní sú kontrolované elektronické podpisy, pričom verejný kľúč je uložený v čipe UEFI alebo TPM. Týmto kľúčom musia byť podpísané zavádzač OS, jadro systému aj moduly jadra. 

Dobrá správa je, že nové 64-bitové verzie Windows Secure Boot vyžadujú, zlá správa je, že UEFI má kritické bezpečnostné chyby, ktoré teoreticky, a ako ukázali nezávislí bezpečnostní experti, aj prakticky umožňujú, aby útočníci získali kontrolu nad spúšťaním operačného systému. V praxi to znamená, že klasický antivírusový program, ktorý beží v operačnom systéme, nech by bol akýkoľvek dobrý, nedokáže zabrániť tomu, aby sa škodlivý kód dostal do počítača ešte pred zavedením operačného systému. Bootkit prevezme kontrolu nad spúšťacím procesom a vyradí Secure Boot. Bezpečnostní analytici prirovnávajú túto bezpečnostnú slabinu UEFI k situácii, keď bytový zlodej nemusí nič prekonávať, pretože má kľúč. Inak užitočné funkcie UEFI umožňujú napríklad spúšťať vlastné spustiteľné moduly. Znie to zložito, no praktický dôsledok je taký, že dobre napísaný škodlivý softvér sa dokáže spustiť skôr, ako sa môže spustiť akékoľvek riešenie proti malvéru alebo operačný systém.

V prípade každej hrozby sa vyhodnocujú riziká infekcie, prípadné dôsledky a predovšetkým ochrana a prevencia. Z hľadiska posledných dvoch atribútov sú bootklity mimoriadne tvrdý oriešok. Problém je aj v tom, že musíme počítať nielen s aktuálnymi, ale aj budúcimi hrozbami, ktoré budú čoraz sofistikovanejšie, pretože kritické chyby v UEFI sa zrejme tak skoro neodstránia. Pri takýchto prediktívnych analýzach sa spravidla postupuje tak, že sa podľa relevantných kritérií vyhodnotia prípady z minulosti, pre daný atribút sa získa krivka priebehu a tá sa predĺži do budúcnosti. Znepokojujúce je to, že pri mnohých bootkitoch sa podarilo vystopovať pôvod vo vládnych agentúrach. 

Ak chceme identifikovať hercov a scenáre, ­pozrime sa na minulosť, aby sme videli naj­pozoruhodnejšie prípady bootkitu. Pri pohľade na časovú líniu je jasné, že hrozba je čoraz ­častejšia. V roku 2015 bol odhalený rootkit ­DEITYBOUNCE, ktorý napádal BIOS základných dosiek serverov  Dell PowerEdge a na svoje ­aktivovanie počas načítania operačného ­systému využíval režim správy systému. Pôvod DEITYBOUNCE smeruje k NSA. O rok neskôr sa objavil HT rkloader, jeho pôvodca  Hacking Team síce nie je vládna agentúra, ale napriek tomu predáva svoje služby rôznym vládam. HT rkloader bol prvý prípad známeho UEFI ­rootkitu. K expanzii rootkitov prispel do značnej miery aj únik softvérových nástrojov a knižníc od spoločnosti Shadow Brokers. Veľmi zne­pokojivá je správa, že tvorcovia bootkitov ­zameriavajú svoju pozornosť na dodávateľský reťazec a firmvér, aby sa zariadenia mohli nakaziť ešte skôr, ako ich budúci majitelia prvýkrát použijú.

Možnosti ochrany a prevencie

VirusTotal na blogu v článku Putting the spotlight on firmware malware (Zameranie pozornosti na malvér vo firmvéri) oznámil dostupnosť riešenia schopného načítať a analyzovať UEFI Portable Executables. Bol to veľký prínos k bezpečnosti kyberpriestoru ako celku, pretože sa sprístupnilo jednoduché rozhranie na analýzu firmvéru. Problémom môže byť postup získania firmvéru, takže toto riešenie je určené predovšetkým pre kvalifikovaných špecialistov a smerované do testovacieho prostredia. Odhaľovanie  prípadného škodlivého kódu je de facto sekundárna funkcia tohto nástroja, primárny cieľ je odhaľovanie chýb firmvéru vo všeobecnosti.

ESET Internet Security

Ani bežný používateľ nie je v súčasnosti proti bootkitom bezbranný. Môže použiť bezpečnostné riešenie ESET Internet Security, ktoré poskytuje dodatočnú ochrannú vrstvu proti UEFI bootkitom. ESET má ako prvý na svete riešenie určené pre domácich používateľov, ktoré má aj vrstvu na kontrolu UEFI. Výhoda je v tom, že ­môžete skenovať firmvér s podporou UEFI bez použitia ďalších nástrojov, ktoré môžu predstavovať riziko pre systém, a funkciu aktivovať z jednoduchého a zrozumiteľného používateľského rozhrania.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

PR: Staňte sa špecialistom na alarmy. Certifikované školenie aj vo vašom meste!

31.08.2018 08:01

Láka vás začať montovať alarmy prestížnej značky Jablotron? Chcete sa stať certifikovaným odborníkom v tejto oblasti? Tak si do svojho diára poznačte termíny najbližších školení:  18 a 19. 9. 2018  v  ...

Bezpečnosť

Startup učí autonómne vozidlá rozpoznávať zámery chodcov, či vstúpia na cestu alebo počkajú

22.08.2018 00:10

Chodci predstavujú jednu z najväčších výziev pre autonómne vozidlá - nakoľko ostatné autá sa pohybujú viac-menej predvídateľným spôsobom, no pohyb chodcov je nepravidelný a ťažko sa dá vopred odhadnúť ...

Bezpečnosť

Hackeri by mohli zneužiť faxy v multifunkčných zariadeniach na ovládnutie celej firemnej siete

20.08.2018 00:05

Vo veku okamžitých správ cez internet sa fax považuje za archaický kus technológie. No výskumní pracovníci zo spoločnosti Check Point varujú, že kybernetickí kriminálnici môžu využívať zraniteľnosti, ...

q

Žiadne komentáre

Vyhľadávanie

IWAYDAY_2018

Najnovšie videá



PC forum button