UEFI در قالب یک مکانیزم تحویل بدافزار

20 مهر 1399 UEFI در قالب یک مکانیزم تحویل بدافزار

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ به تازگی، محققین ما حمله‌ی هدف‌دار پیچیده‌ای را کشف کردند که تنها مقصودش یورش به مؤسسات سیاسی و سازمان‌های غیردولتی در آسیا، اروپا و آفریقاست. تا آنجا که اطلاع داریم، تمامی قربانیان یک‌جورهایی به کره شمالی ارتباط داشتند (حالا یا از طریق فعالیت‌های غیرانتفاعی یا روابط دیپلماتیک). مهاجمین از یک فریم‌ورک جاسوسی سایبری پیچیده و مبتنی بر ماژول استفاده کردند که محققین ما آن را  MosaicRegressor صدا می‌زنند. تحقیقات ما نشان داده که در برخی از موارد، این بدافزار از طریق [1]UEFIهای دستکاری‌شده به داخل کامپیوترهای قربانیان رخنه کرده است (اتفاقی به شدت نادر). با این حال، در بیشتر موارد مهاجمین از اسپیر فیشینگ –که متود سنتی‌تریست- استفاده کردند.

UEFI چیست و چرا این بوت‌کیت خطرناک است؟

UEFI مانند  BIOS[2] نرم‌افزایست که وقتی کامپیوتر شروع به کار می‌کند -حتی پیش از آنکه سیستم‌عامل بخواهد راه بیافتد- اجرای درستی دارد. افزون بر این، در هارد درایو ذخیره نمی‌شود؛ بلکه روی تراشه‌ای بر روی یک مادربورد ذخیره می‌گردد. اگر مجرمان سایبری کد  UEFI را دستکاری کنند، می‌توانند به طور بالقوه از آن برای تزریق بدافزار به سیستم قربانی استفاده کنند. این دقیقاً همان چیزیست که در کمپین مذکور پیدا کردیم. علاوه بر اینها، مهاجمین موقع ساخت سفت‌افزار UEFI دستکاری‌شده‌ی خود از کد منبع VectorEDK–یک بوت‌کیت از شرکت HackingTeam که به طور آنلاین نشت پیدا کرد- استفاده کردند. گرچه این کد منبع سال 2015 برای عموم قابل‌دسترسی بود اما این اولین باریست که شاهد کاربردش توسط مجرمان سایبری هستیم. وقتی سیستم بالا می‌آید، این بوت‌کیت فایل آلوده‌ی IntelUpdate.exe را در فولدر استارت‌آپ سیستم قرار می‌دهد. این فایل قابل‌اجرا روی کامپیوتر اجزاهای دیگرِ MosaicRegressor را دانلود و نصب می‌کند. با توجه به انزوای نسبی UEFI–حتی اگر این فایل آلوده شناسایی هم بشود- حذف کردنش تقریباً غیرممکن است. نه حذف آن و نه نصب مجدد سیستم‌عامل دیگر دردی را دوا نخواهد کرد. تنها راه حل این مشکل، فلش کردن مجددِ مادربورد است.

چرا MosaicRegressor خطرناک است؟

اجزای MosaicRegressor که تحویل این بدافزار را روی کامپیوتر قربانی‌ها میسر می‌سازد (یا از طریق UEFI دستکاری‌شده یا فیشینگ هدف‌دار) به سرورهای C&C این کامپیوترها وصل شده، ماژول‌های اضافی را دانلود کرده و بعد آن‌ها را اجرا کردند. سپس از این ماژول‌ها برای سرقت اطلاعات استفاده شد. برای مثال، یکی از آن‌ها که همین اواخر ارسال شده بود داکیومنت‌هایی را برای مجرمان سایبری باز کرد. مکانیزم‌های مختلفی برای برقراری تعامل با سرورهای C&C مورد استفاده قرار گرفت: آرشیو  cURL (برای HTTP/HTTPS)، رابط BITS، رابط برنامه‌نویسی WinHTTP و سرویس‌های میل عمومی که از پروتکل‌های POP3S، SMTPS یا IMAPS استفاده می‌کنند.

چطور از گزند MosaicRegressor در امان باشیم؟

برای مصون ماندن از گزند  MosaicRegressor، اولین تهدیدی را که باید خنثی کرد اسپیر فیشینگ است؛ این طوریست که حملات پیچیده شروع به کار می‌کنند. همچنین برای ماکسیمم محافظت از کامپیوتر کارمند توصیه می‌کنیم از ترکیبی از محصولات امنیتی با فناوری‌های پیشرفته‌ی ضد فیشینگ استفاده کنید. همینطور با آموزش به کارمندان خود سطح آگاهی‌شان را نسبت به حملاتی از این دست بالا ببرید. راهکارهای امنیتی ما ماژول‌های آلوده را –که کارشان سرقت اطلاعاتی است- شناسایی می‌کنند. در مورد این سفت‌افزار دستکاری‌شده هم متأسفانه دقیقاً نمی‌دانیم چطور این بوت‌کیت به کامپیوتر قربانیان رخنه کرد. داده‌های نشت‌شده از شرکت HackingTeam اینطور نشان می‌دهد که مهاجمین احتمالاً به دسترسی فیزیکی نیاز داشتند و برای آلوده کردن این دستگاه‌ها از درایو یو‌اس‌بی استفاده کردند. با این حال، متودهای دیگر دستکاری UEFI را نمی‌شود انکار کرد.

برای ایمن ماندن از خطر بوت‌کیت MosaicRegressor UEFI:

  •         وبسایت تولیدکننده‌ی کامپیوتر یا مادربورد خود را بررسی کنید تا ببینید آیا سخت‌افزار شما از Intel Boot Guard–که مانع اصلاح غیرقانونی سفت‌افزار UEFI می‌شود- پشتیبانی می‌کند یا خیر.
  •         برای اینکه نگذارید بوت‌کیت، پی‌لود خود را نصب کند، از رمزگذاری تمام‌دیسک استفاده کنید.
  •         از راهکارهای امنیتی مطمئن که می‌توانند تهدیدهایی با چنین ماهیت را اسکن و شناسایی کنند استفاده نمایید. از سال 2019، محصولات ما قادرند تهدیدهایی را جستجو کنند که خود را در  ROM BIOS و سفت‌افزار UEFI پنهان می‌کنند. در واقع، فناوری اختصاصی Firmware Scanner ما این حمله را برای اولین بار شناسایی نمود.

 

[1]رابط متحد توسعه‌پذیر سیستم‌عامل

[2]بایوس یا سامانهٔ ورودی

 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد