Наши эксперты обнаружили свежую версию руткита CosmicStrand, который скрывается в прошивке UEFI, избегая внимания исследователей.
Наши исследователи изучили современную версию руткита CosmicStrand, вредоносной программы, которую они обнаружили в модифицированной прошивке UEFI. Для тех, кто не знает: Unified Extensible Firmware Interface (UEFI) — это программное обеспечение, которое при включении компьютера запускается первым и инициирует процесс загрузки ОС.
Насколько опасен зловред в UEFI
Поскольку прошивка UEFI содержится в чипе на материнской плате, а не записана на жестком диске, никакие манипуляции с диском это ПО не затрагивают. Поэтому избавиться от вредоносной программы, спрятанной в UEFI, очень сложно: даже если полностью очистить диск и переустановить операционку, UEFI останется без изменений. По той же причине далеко не все защитные решения способны находить вредоносные программы, спрятавшиеся в UEFI. Проще говоря, если уж зловред пробрался в прошивку, то это надолго.
С другой стороны, заразить UEFI тоже не так-то просто — для этого понадобится либо физический доступ к устройству, либо разработка какого-то непростого механизма удаленного заражения прошивки. Кроме того, чтобы выполнить свою конечную цель — какой бы она ни была, — зловред должен не только поселиться в UEFI, но и суметь при загрузке перебраться в операционную систему, а этого тоже не так уж легко добиться. Все это требует серьезных ресурсов, поэтому подобные зловреды чаще всего используются в целевых атаках на высокопоставленных персон или организации.
Как и кого заражал CosmicStrand
В случае CosmicStrand обнаруженные нашими исследователями жертвы были, как ни странно, обычными людьми, пользующимися нашим бесплатным антивирусом. Судя по всему, они не имеют никакого отношения к организациям, которыми могли бы интересоваться злоумышленники такого уровня. Зато во всех известных случаях зараженными оказались материнские платы двух определенных производителей. Вероятно, злоумышленники нашли в них какую-то общую уязвимость, которая позволила им заразить UEFI.
Неизвестно, как именно злоумышленникам удалось доставить зловреда. Тот факт, что жертвы CosmicStrand нашлись среди «гражданских», может свидетельствовать о том, что стоящие за этим руткитом злоумышленники способны удаленно заражать UEFI. Но не обязательно: например, эксперты из Qihoo 360, исследовавшие пять лет назад ранние версии CosmicStrand образца 2016 года, предположили, что одна из жертв приобрела модифицированную материнскую плату у реселлера. Однако в данном случае нашим экспертам не удалось подтвердить использование того или иного способа заражения.
Что делает CosmicStrand
Основное предназначение CosmicStrand — при запуске компьютера загружать на него вредоносную программу, которая уже будет выполнять задачи, поставленные злоумышленниками. Успешно пройдя через все стадии загрузки операционной системы, руткит в итоге запускает shell-код и связывается с командным сервером злоумышленников, откуда и получает вредоносную нагрузку.
Перехватить файл, который руткит получает от командного сервера, нашим исследователям не удалось. Зато на одном из зараженных компьютеров они обнаружили зловреда, который, вероятно, имеет отношение к CosmicStrand. Этот зловред создает в операционной системе пользователя с именем aaaabbbb и делает его локальным администратором. Больше технических деталей о рутките CosmicStrand вы можете найти в посте наших исследователей на Securelist.
Стоит ли бояться руткитов?
Еще с 2016 года CosmicStrand успешно работает на злоумышленников, практически не привлекая внимания исследователей безопасности. Конечно, это тревожный сигнал, но не все так плохо. Во-первых, это образец сложного и дорогого вредоносного ПО, которое применяется в целевых атаках, а вовсе не в массовых — даже если иногда жертвами оказываются на первый взгляд случайные люди, как это и произошло с CosmicStrand. Во-вторых, существуют защитные решения, которые обнаруживают таких зловредов. Например, как отлично демонстрирует это исследование, наши продукты, даже начального уровня, умеют бороться с руткитами.