UEFI در قالب یک مکانیزم تحویل بدافزار

20 مهر 1399 UEFI در قالب یک مکانیزم تحویل بدافزار

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ به تازگی، محققین ما حمله‌ی هدف‌دار پیچیده‌ای را کشف کردند که تنها مقصودش یورش به مؤسسات سیاسی و سازمان‌های غیردولتی در آسیا، اروپا و آفریقاست. تا آنجا که اطلاع داریم، تمامی قربانیان یک‌جورهایی به کره شمالی ارتباط داشتند (حالا یا از طریق فعالیت‌های غیرانتفاعی یا روابط دیپلماتیک). مهاجمین از یک فریم‌ورک جاسوسی سایبری پیچیده و مبتنی بر ماژول استفاده کردند که محققین ما آن را  MosaicRegressor صدا می‌زنند. تحقیقات ما نشان داده که در برخی از موارد، این بدافزار از طریق [1]UEFIهای دستکاری‌شده به داخل کامپیوترهای قربانیان رخنه کرده است (اتفاقی به شدت نادر). با این حال، در بیشتر موارد مهاجمین از اسپیر فیشینگ –که متود سنتی‌تریست- استفاده کردند.

UEFI چیست و چرا این بوت‌کیت خطرناک است؟

UEFI مانند  BIOS[2] نرم‌افزایست که وقتی کامپیوتر شروع به کار می‌کند -حتی پیش از آنکه سیستم‌عامل بخواهد راه بیافتد- اجرای درستی دارد. افزون بر این، در هارد درایو ذخیره نمی‌شود؛ بلکه روی تراشه‌ای بر روی یک مادربورد ذخیره می‌گردد. اگر مجرمان سایبری کد  UEFI را دستکاری کنند، می‌توانند به طور بالقوه از آن برای تزریق بدافزار به سیستم قربانی استفاده کنند. این دقیقاً همان چیزیست که در کمپین مذکور پیدا کردیم. علاوه بر اینها، مهاجمین موقع ساخت سفت‌افزار UEFI دستکاری‌شده‌ی خود از کد منبع VectorEDK–یک بوت‌کیت از شرکت HackingTeam که به طور آنلاین نشت پیدا کرد- استفاده کردند. گرچه این کد منبع سال 2015 برای عموم قابل‌دسترسی بود اما این اولین باریست که شاهد کاربردش توسط مجرمان سایبری هستیم. وقتی سیستم بالا می‌آید، این بوت‌کیت فایل آلوده‌ی IntelUpdate.exe را در فولدر استارت‌آپ سیستم قرار می‌دهد. این فایل قابل‌اجرا روی کامپیوتر اجزاهای دیگرِ MosaicRegressor را دانلود و نصب می‌کند. با توجه به انزوای نسبی UEFI–حتی اگر این فایل آلوده شناسایی هم بشود- حذف کردنش تقریباً غیرممکن است. نه حذف آن و نه نصب مجدد سیستم‌عامل دیگر دردی را دوا نخواهد کرد. تنها راه حل این مشکل، فلش کردن مجددِ مادربورد است.

چرا MosaicRegressor خطرناک است؟

اجزای MosaicRegressor که تحویل این بدافزار را روی کامپیوتر قربانی‌ها میسر می‌سازد (یا از طریق UEFI دستکاری‌شده یا فیشینگ هدف‌دار) به سرورهای C&C این کامپیوترها وصل شده، ماژول‌های اضافی را دانلود کرده و بعد آن‌ها را اجرا کردند. سپس از این ماژول‌ها برای سرقت اطلاعات استفاده شد. برای مثال، یکی از آن‌ها که همین اواخر ارسال شده بود داکیومنت‌هایی را برای مجرمان سایبری باز کرد. مکانیزم‌های مختلفی برای برقراری تعامل با سرورهای C&C مورد استفاده قرار گرفت: آرشیو  cURL (برای HTTP/HTTPS)، رابط BITS، رابط برنامه‌نویسی WinHTTP و سرویس‌های میل عمومی که از پروتکل‌های POP3S، SMTPS یا IMAPS استفاده می‌کنند.

چطور از گزند MosaicRegressor در امان باشیم؟

برای مصون ماندن از گزند  MosaicRegressor، اولین تهدیدی را که باید خنثی کرد اسپیر فیشینگ است؛ این طوریست که حملات پیچیده شروع به کار می‌کنند. همچنین برای ماکسیمم محافظت از کامپیوتر کارمند توصیه می‌کنیم از ترکیبی از محصولات امنیتی با فناوری‌های پیشرفته‌ی ضد فیشینگ استفاده کنید. همینطور با آموزش به کارمندان خود سطح آگاهی‌شان را نسبت به حملاتی از این دست بالا ببرید. راهکارهای امنیتی ما ماژول‌های آلوده را –که کارشان سرقت اطلاعاتی است- شناسایی می‌کنند. در مورد این سفت‌افزار دستکاری‌شده هم متأسفانه دقیقاً نمی‌دانیم چطور این بوت‌کیت به کامپیوتر قربانیان رخنه کرد. داده‌های نشت‌شده از شرکت HackingTeam اینطور نشان می‌دهد که مهاجمین احتمالاً به دسترسی فیزیکی نیاز داشتند و برای آلوده کردن این دستگاه‌ها از درایو یو‌اس‌بی استفاده کردند. با این حال، متودهای دیگر دستکاری UEFI را نمی‌شود انکار کرد.

برای ایمن ماندن از خطر بوت‌کیت MosaicRegressor UEFI:

  •         وبسایت تولیدکننده‌ی کامپیوتر یا مادربورد خود را بررسی کنید تا ببینید آیا سخت‌افزار شما از Intel Boot Guard–که مانع اصلاح غیرقانونی سفت‌افزار UEFI می‌شود- پشتیبانی می‌کند یا خیر.
  •         برای اینکه نگذارید بوت‌کیت، پی‌لود خود را نصب کند، از رمزگذاری تمام‌دیسک استفاده کنید.
  •         از راهکارهای امنیتی مطمئن که می‌توانند تهدیدهایی با چنین ماهیت را اسکن و شناسایی کنند استفاده نمایید. از سال 2019، محصولات ما قادرند تهدیدهایی را جستجو کنند که خود را در  ROM BIOS و سفت‌افزار UEFI پنهان می‌کنند. در واقع، فناوری اختصاصی Firmware Scanner ما این حمله را برای اولین بار شناسایی نمود.

 

[1]رابط متحد توسعه‌پذیر سیستم‌عامل

[2]بایوس یا سامانهٔ ورودی

 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    9,761,900 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    3,251,900 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    6,508,450 ریال13,016,900 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    4,879,400 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    4,879,400 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    6,506,900 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    11,718,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد