CosmicStrand — UEFI-руткит

Наши эксперты обнаружили свежую версию руткита CosmicStrand, который скрывается в прошивке UEFI, избегая внимания исследователей.

Руткит CosmicStrand прячется в прошивке UEFI

Наши исследователи изучили современную версию руткита CosmicStrand, вредоносной программы, которую они обнаружили в модифицированной прошивке UEFI. Для тех, кто не знает: Unified Extensible Firmware Interface (UEFI) — это программное обеспечение, которое при включении компьютера запускается первым и инициирует процесс загрузки ОС.

Насколько опасен зловред в UEFI

Поскольку прошивка UEFI содержится в чипе на материнской плате, а не записана на жестком диске, никакие манипуляции с диском это ПО не затрагивают. Поэтому избавиться от вредоносной программы, спрятанной в UEFI, очень сложно: даже если полностью очистить диск и переустановить операционку, UEFI останется без изменений. По той же причине далеко не все защитные решения способны находить вредоносные программы, спрятавшиеся в UEFI. Проще говоря, если уж зловред пробрался в прошивку, то это надолго.

С другой стороны, заразить UEFI тоже не так-то просто — для этого понадобится либо физический доступ к устройству, либо разработка какого-то непростого механизма удаленного заражения прошивки. Кроме того, чтобы выполнить свою конечную цель — какой бы она ни была, — зловред должен не только поселиться в UEFI, но и суметь при загрузке перебраться в операционную систему, а этого тоже не так уж легко добиться. Все это требует серьезных ресурсов, поэтому подобные зловреды чаще всего используются в целевых атаках на высокопоставленных персон или организации.

Как и кого заражал CosmicStrand

В случае CosmicStrand обнаруженные нашими исследователями жертвы были, как ни странно, обычными людьми, пользующимися нашим бесплатным антивирусом. Судя по всему, они не имеют никакого отношения к организациям, которыми могли бы интересоваться злоумышленники такого уровня. Зато во всех известных случаях зараженными оказались материнские платы двух определенных производителей. Вероятно, злоумышленники нашли в них какую-то общую уязвимость, которая позволила им заразить UEFI.

Неизвестно, как именно злоумышленникам удалось доставить зловреда. Тот факт, что жертвы CosmicStrand нашлись среди «гражданских», может свидетельствовать о том, что стоящие за этим руткитом злоумышленники способны удаленно заражать UEFI. Но не обязательно: например, эксперты из Qihoo 360, исследовавшие пять лет назад ранние версии CosmicStrand образца 2016 года, предположили, что одна из жертв приобрела модифицированную материнскую плату у реселлера. Однако в данном случае нашим экспертам не удалось подтвердить использование того или иного способа заражения.

Что делает CosmicStrand

Основное предназначение CosmicStrand — при запуске компьютера загружать на него вредоносную программу, которая уже будет выполнять задачи, поставленные злоумышленниками. Успешно пройдя через все стадии загрузки операционной системы, руткит в итоге запускает shell-код и связывается с командным сервером злоумышленников, откуда и получает вредоносную нагрузку.

Процесс заражения системы руткитом CosmicStrand

Перехватить файл, который руткит получает от командного сервера, нашим исследователям не удалось. Зато на одном из зараженных компьютеров они обнаружили зловреда, который, вероятно, имеет отношение к CosmicStrand. Этот зловред создает в операционной системе пользователя с именем aaaabbbb и делает его локальным администратором. Больше технических деталей о рутките CosmicStrand вы можете найти в посте наших исследователей на Securelist.

Стоит ли бояться руткитов?

Еще с 2016 года CosmicStrand успешно работает на злоумышленников, практически не привлекая внимания исследователей безопасности. Конечно, это тревожный сигнал, но не все так плохо. Во-первых, это образец сложного и дорогого вредоносного ПО, которое применяется в целевых атаках, а вовсе не в массовых — даже если иногда жертвами оказываются на первый взгляд случайные люди, как это и произошло с CosmicStrand. Во-вторых, существуют защитные решения, которые обнаруживают таких зловредов. Например, как отлично демонстрирует это исследование, наши продукты, даже начального уровня, умеют бороться с руткитами.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.