WnsbSec
Sebuah rootkit UEFI, diyakini telah dibangun oleh mata-mata Kremlin dari program perangkat lunak anti-pencuri untuk mengintai pemerintah Eropa, telah dipilih secara publik oleh para peneliti.
Rootkit adalah perangkat lunak yang bersembunyi di sistem komputer, dan menggunakan hak akses root atau administrator untuk mencuri dan mengubah dokumen, memata-matai pengguna, dan menyebabkan kenakalan dan sakit kepala lainnya. Sebuah rootkit UEFI mengintai di firmware motherboard, yang berarti itu dimulai sebelum sistem operasi dan antivirus dijalankan, memungkinkan untuk mengubur dirinya jauh di dalam mesin yang terinfeksi, tidak terdeteksi dan dengan hak akses tingkat tinggi.
Menurut infosec biz ESET, rootkit firmware yang dijuluki LoJax menargetkan PC Windows yang digunakan oleh organisasi pemerintah di Balkan serta di Eropa tengah dan timur. Para tersangka utama di balik perangkat lunak jahat itu adalah kru peretas Fancy Bear (alias Sednit aka Sofacy aka APT28), di tempat lain yang diidentifikasi sebagai unit intelijen militer Rusia.
Itulah Lucky Bear yang sama yang dikatakan telah meretas server-server Partai Demokrat AS, jaringan televisi Prancis TV5, dan lainnya.
Malware ini didasarkan pada versi lama dari aplikasi legit oleh Absolute Software yang disebut LoJack for Laptops, yang biasanya diinstal pada notebook oleh produsen sehingga perangkat yang dicuri dapat ditemukan. Kode bersembunyi di firmware UEFI, dan telepon ke server backend melalui internet. Dengan demikian, jika komputer dijepit, maka akan diam-diam mengungkapkan lokasinya saat ini kepada pemilik aslinya.
Seperti yang kami laporkan pada bulan Mei , orang-orang di Netscout's Arbor Networks melihat LoJack digunakan kembali oleh agen Fancy Bear untuk mengembangkan LoJax. Sekarang, ESET telah mendokumentasikan secara terperinci [PDF] kerja batin spyware, dan daftar tanda tangan yang dapat digunakan untuk mendeteksi dan menghapusnya dari jaringan Anda sendiri.
Pada dasarnya, para penjahat kompromi mesin, mendapatkan hak administrator, dan kemudian mencoba untuk mengubah firmware motherboard untuk memasukkan modul UEFI berbahaya yang, jika berhasil, menginstal dan menjalankan LoJax setiap kali komputer biasanya boot.
Kode berbahaya ini kemudian bekerja sebelum OS dan alat antivirus masuk. Mengubah hard drive atau menginstal ulang sistem operasi tidak baik - malware disimpan dalam flash SPI builtin sistem, dan menginstal ulang sendiri pada disk yang baru atau dihapus.
Setelah bangkit dan hidup, LoJax menghubungi server perintah-dan-kontrol yang disamarkan sebagai situs web biasa dan diketahui dioperasikan oleh intelijen Rusia. Ini kemudian mengunduh perintah untuk melakukan.
Pada hari Kamis, tim ESET menulis:
Kami menemukan sejumlah sampel LoJax yang berbeda selama penelitian kami. Berdasarkan data telemetri kami dan pada alat Sednit lainnya yang ditemukan di alam liar, kami yakin bahwa modul khusus ini jarang digunakan dibandingkan dengan komponen malware lainnya yang mereka miliki. Targetnya kebanyakan adalah entitas pemerintah yang berlokasi di Balkan serta Eropa Tengah dan Timur.
Investigasi kami telah menetapkan bahwa aktor jahat ini berhasil setidaknya sekali dalam menulis modul UEFI yang berbahaya ke dalam memori flash SPI sistem. Modul ini mampu menjatuhkan dan mengeksekusi malware pada disk selama proses boot.
Metode persistensi ini sangat invasif karena tidak hanya akan bertahan dari instalasi ulang OS, tetapi juga penggantian hard disk. Selain itu, membersihkan sistem UEFI firmware berarti mem-flash ulang, operasi yang tidak biasa dilakukan dan tentu saja tidak oleh pengguna biasa.
Ternyata LoJack, atau dikenal sebagai Computrace, adalah template yang lumayan bagus untuk mendesain potongan spyware tingkat-firmware yang tersembunyi. "Saat meneliti LoJax, kami menemukan beberapa artifak menarik yang membuat kami percaya bahwa para pelaku ancaman ini mungkin mencoba meniru metode persistensi Computrace," ESET menyatakan.
LoJax menggunakan driver kernel, RwDrv.sys, untuk menulis ulang firmware flash UEFI dan pengaturannya untuk menyimpannya sendiri, sehingga ketika PC dinyalakan, ia menyalin dirinya ke disk dan menjalankan dirinya sendiri. Driver kernel ini digesek dari utilitas resmi yang disebut RWEverything.
Kami diberitahu oleh ESET bahwa Secure Boot, jika diaktifkan, harus menghentikan LoJax dari menyuntikkan dirinya ke dalam penyimpanan firmware, karena kode tersebut tidak akan memiliki tanda tangan digital yang valid dan harus ditolak saat startup. Perlu diketahui, meskipun, ini membutuhkan konfigurasi Secure Boot yang cukup kuat: ia harus mampu menggagalkan malware tingkat administrator dengan akses baca-tulis ke penyimpanan UEFI.
Ada pengaturan firmware yang dapat menggagalkan instalasi flash hanya dengan memblokir operasi tulis. Jika BIOS write-enable mati, aktifasi kunci BIOS aktif, dan proteksi penulisan SMM BIOS diaktifkan, maka malware tidak dapat menulis sendiri ke penyimpanan flash motherboard.
Sebagai alternatif, menghapus penyimpanan disk dan firmware akan menyingkirkan strain rootkit khusus ini.
Sistem modern harus dapat menahan firmware jahat yang ditimpa, kami diberitahu, meskipun ESET mengatakan menemukan setidaknya satu kasus LoJax dalam flash SPI PC.
"Meskipun sulit untuk mengubah gambar UEFI sistem, beberapa solusi ada untuk memindai modul UEFI sistem dan mendeteksi sistem berbahaya," tulis Tim ESET. "Selain itu, membersihkan sistem UEFI firmware berarti mem-flash ulang, operasi yang tidak umum dilakukan dan tentu saja tidak oleh pengguna rata-rata. Keunggulan ini menjelaskan mengapa penyerang yang ditentukan dan banyak akal akan terus menargetkan sistem UEFI."
Sementara langkah-langkah yang diambil untuk menyuntikkan malware ke dalam firmware agak terlibat, hasil akhirnya cukup sederhana: menciptakan perangkat lunak penghuni jahat yang membuat malware pendamping yakin terisi ketika sistem yang dikompromikan naik.
ESET mempresentasikan penelitiannya pada rootkit UEFI yang telah ditemukan pada konferensi 2018 Microsoft BlueHat pada hari Kamis, 27 September. Lihat PDF terkait di atas untuk rincian lebih lanjut secara lebih mendalam.
0 Response to "Resident Evil : Rootkit di Dalam UEFI Digunakan Untuk Memata Matai"
Post a Comment
Berkomentarlah yang baik dan benar. Omonganmu mencerminkan sifatmu