UEFI در قالب یک مکانیزم تحویل بدافزار

20 مهر 1399 UEFI در قالب یک مکانیزم تحویل بدافزار

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ به تازگی، محققین ما حمله‌ی هدف‌دار پیچیده‌ای را کشف کردند که تنها مقصودش یورش به مؤسسات سیاسی و سازمان‌های غیردولتی در آسیا، اروپا و آفریقاست. تا آنجا که اطلاع داریم، تمامی قربانیان یک‌جورهایی به کره شمالی ارتباط داشتند (حالا یا از طریق فعالیت‌های غیرانتفاعی یا روابط دیپلماتیک). مهاجمین از یک فریم‌ورک جاسوسی سایبری پیچیده و مبتنی بر ماژول استفاده کردند که محققین ما آن را  MosaicRegressor صدا می‌زنند. تحقیقات ما نشان داده که در برخی از موارد، این بدافزار از طریق [1]UEFIهای دستکاری‌شده به داخل کامپیوترهای قربانیان رخنه کرده است (اتفاقی به شدت نادر). با این حال، در بیشتر موارد مهاجمین از اسپیر فیشینگ –که متود سنتی‌تریست- استفاده کردند.

UEFI چیست و چرا این بوت‌کیت خطرناک است؟

UEFI مانند  BIOS[2] نرم‌افزایست که وقتی کامپیوتر شروع به کار می‌کند -حتی پیش از آنکه سیستم‌عامل بخواهد راه بیافتد- اجرای درستی دارد. افزون بر این، در هارد درایو ذخیره نمی‌شود؛ بلکه روی تراشه‌ای بر روی یک مادربورد ذخیره می‌گردد. اگر مجرمان سایبری کد  UEFI را دستکاری کنند، می‌توانند به طور بالقوه از آن برای تزریق بدافزار به سیستم قربانی استفاده کنند. این دقیقاً همان چیزیست که در کمپین مذکور پیدا کردیم. علاوه بر اینها، مهاجمین موقع ساخت سفت‌افزار UEFI دستکاری‌شده‌ی خود از کد منبع VectorEDK–یک بوت‌کیت از شرکت HackingTeam که به طور آنلاین نشت پیدا کرد- استفاده کردند. گرچه این کد منبع سال 2015 برای عموم قابل‌دسترسی بود اما این اولین باریست که شاهد کاربردش توسط مجرمان سایبری هستیم. وقتی سیستم بالا می‌آید، این بوت‌کیت فایل آلوده‌ی IntelUpdate.exe را در فولدر استارت‌آپ سیستم قرار می‌دهد. این فایل قابل‌اجرا روی کامپیوتر اجزاهای دیگرِ MosaicRegressor را دانلود و نصب می‌کند. با توجه به انزوای نسبی UEFI–حتی اگر این فایل آلوده شناسایی هم بشود- حذف کردنش تقریباً غیرممکن است. نه حذف آن و نه نصب مجدد سیستم‌عامل دیگر دردی را دوا نخواهد کرد. تنها راه حل این مشکل، فلش کردن مجددِ مادربورد است.

چرا MosaicRegressor خطرناک است؟

اجزای MosaicRegressor که تحویل این بدافزار را روی کامپیوتر قربانی‌ها میسر می‌سازد (یا از طریق UEFI دستکاری‌شده یا فیشینگ هدف‌دار) به سرورهای C&C این کامپیوترها وصل شده، ماژول‌های اضافی را دانلود کرده و بعد آن‌ها را اجرا کردند. سپس از این ماژول‌ها برای سرقت اطلاعات استفاده شد. برای مثال، یکی از آن‌ها که همین اواخر ارسال شده بود داکیومنت‌هایی را برای مجرمان سایبری باز کرد. مکانیزم‌های مختلفی برای برقراری تعامل با سرورهای C&C مورد استفاده قرار گرفت: آرشیو  cURL (برای HTTP/HTTPS)، رابط BITS، رابط برنامه‌نویسی WinHTTP و سرویس‌های میل عمومی که از پروتکل‌های POP3S، SMTPS یا IMAPS استفاده می‌کنند.

چطور از گزند MosaicRegressor در امان باشیم؟

برای مصون ماندن از گزند  MosaicRegressor، اولین تهدیدی را که باید خنثی کرد اسپیر فیشینگ است؛ این طوریست که حملات پیچیده شروع به کار می‌کنند. همچنین برای ماکسیمم محافظت از کامپیوتر کارمند توصیه می‌کنیم از ترکیبی از محصولات امنیتی با فناوری‌های پیشرفته‌ی ضد فیشینگ استفاده کنید. همینطور با آموزش به کارمندان خود سطح آگاهی‌شان را نسبت به حملاتی از این دست بالا ببرید. راهکارهای امنیتی ما ماژول‌های آلوده را –که کارشان سرقت اطلاعاتی است- شناسایی می‌کنند. در مورد این سفت‌افزار دستکاری‌شده هم متأسفانه دقیقاً نمی‌دانیم چطور این بوت‌کیت به کامپیوتر قربانیان رخنه کرد. داده‌های نشت‌شده از شرکت HackingTeam اینطور نشان می‌دهد که مهاجمین احتمالاً به دسترسی فیزیکی نیاز داشتند و برای آلوده کردن این دستگاه‌ها از درایو یو‌اس‌بی استفاده کردند. با این حال، متودهای دیگر دستکاری UEFI را نمی‌شود انکار کرد.

برای ایمن ماندن از خطر بوت‌کیت MosaicRegressor UEFI:

  •         وبسایت تولیدکننده‌ی کامپیوتر یا مادربورد خود را بررسی کنید تا ببینید آیا سخت‌افزار شما از Intel Boot Guard–که مانع اصلاح غیرقانونی سفت‌افزار UEFI می‌شود- پشتیبانی می‌کند یا خیر.
  •         برای اینکه نگذارید بوت‌کیت، پی‌لود خود را نصب کند، از رمزگذاری تمام‌دیسک استفاده کنید.
  •         از راهکارهای امنیتی مطمئن که می‌توانند تهدیدهایی با چنین ماهیت را اسکن و شناسایی کنند استفاده نمایید. از سال 2019، محصولات ما قادرند تهدیدهایی را جستجو کنند که خود را در  ROM BIOS و سفت‌افزار UEFI پنهان می‌کنند. در واقع، فناوری اختصاصی Firmware Scanner ما این حمله را برای اولین بار شناسایی نمود.

 

[1]رابط متحد توسعه‌پذیر سیستم‌عامل

[2]بایوس یا سامانهٔ ورودی

 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    9,451,490 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    14,181,740 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    3,545,435 ریال14,181,740 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    94,595,990 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    13,379,850 ریال26,759,700 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    19,186,795 ریال38,373,590 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    20,524,780 ریال41,049,560 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    68,111,996 ریال170,279,990 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    108,981,356 ریال272,453,390 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    81,735,116 ریال204,337,790 ریال
    خرید
  • Kaspersky Small Office Security

    130,929,716 ریال327,324,290 ریال
    خرید
  • Kaspersky Small Office Security

    95,358,236 ریال238,395,590 ریال
    خرید
  • Kaspersky Small Office Security

    152,499,656 ریال381,249,140 ریال
    خرید
  • Kaspersky Small Office Security

    108,981,356 ریال272,453,390 ریال
    خرید
  • Kaspersky Small Office Security

    174,448,016 ریال436,120,040 ریال
    خرید
  • Kaspersky Small Office Security

    122,604,476 ریال306,511,190 ریال
    خرید
  • Kaspersky Small Office Security

    196,017,956 ریال490,044,890 ریال
    خرید
  • Kaspersky Small Office Security

    124,874,996 ریال312,187,490 ریال
    خرید
  • Kaspersky Small Office Security

    199,802,156 ریال499,505,390 ریال
    خرید
  • Kaspersky Small Office Security

    175,961,696 ریال439,904,240 ریال
    خرید
  • Kaspersky Small Office Security

    281,540,876 ریال703,852,190 ریال
    خرید
  • Kaspersky Small Office Security

    227,048,396 ریال567,620,990 ریال
    خرید
  • Kaspersky Small Office Security

    363,279,596 ریال908,198,990 ریال
    خرید
  • Kaspersky Small Office Security

    274,350,896 ریال685,877,240 ریال
    خرید
  • Kaspersky Small Office Security

    438,963,596 ریال1,097,408,990 ریال
    خرید
  • Kaspersky Small Office Security

    520,323,896 ریال1,300,809,740 ریال
    خرید
  • Kaspersky Small Office Security

    832,520,396 ریال2,081,300,990 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد