Computer Security UEFI Exploit Malware blijft bestaan, zelfs na het opnieuw...

UEFI Exploit Malware blijft bestaan, zelfs na het opnieuw installeren van het besturingssysteem

uefi exploitBeveiligingsonderzoekers zijn een in UEFI ingebedde trojan tegengekomen die gegevens op geïnfecteerde MS Windows-machines kan verzamelen. In tegenstelling tot andere populaire Тrojans die er zijn, doorboort de nieuwe dreiging een gat in de Unified Extensible Firmware Interface (UEFI), waardoor hij zichzelf diep in het flash-geheugen van het moederbord plant. Als gevolg hiervan wint de malware pure persistentie op de geïnfecteerde pc, waardoor deze immuniteit krijgt tegen antivirusprogramma's. Bovendien zou de Trojan niet verdwijnen, zelfs niet na een schone installatie van uw MS Windows OS.

De tweede keer dat hackers een op UEFI afgestemd stuk malware hebben bedacht, komt twee jaar nadat de Lojax-dreiging in 2018 aan de horizon verscheen.

De Payload (s)

De op UEFI gebaseerde malware diende als een achterdeur voor nog een ander kwaadaardig uitvoerbaar bestand genaamd "IntelUpdate.exe". De laatste is bedoeld om aanvullende malware-exfiltratie-gegevens van geïnfecteerde machines te leveren. Bovendien wordt het geladen tijdens het opstarten van het systeem, waardoor u keer op keer voor een lus terechtkomt. Als u het .exe-bestand had verwijderd, herstelde de in UEFI gelegen trojan het bij de volgende keer opstarten, tenzij u de UEFI-firmware helemaal verwijdert.

Doelen en verdachten

Tot dusverre waren de meeste van de geregistreerde aanvallen gericht op diplomatieke en niet-gouvernementele organisaties waarvan wordt aangenomen dat ze op de een of andere manier banden hebben met Noord-Korea. Verspreid over Europa, Azië en Afrika kregen de slachtoffers de malware via een kwaadaardig raamwerk dat bekend staat als MosaicRegressor. Bij nader onderzoek van de malware werd het gekoppeld aan een bepaalde C & C-server die voorheen in verband werd gebracht met Winnti, een cybergang die zogenaamd werd gesteund door de Chinese autoriteiten. De aanwezigheid van Chinese symbolen in de code zelf ondersteunt die theorie ook nog eens. Desalniettemin suggereert het gebrek aan harde bewijzen dat de bewering misschien louter speculatie is in plaats van een feit.

Oorsprong en infectie Vector

De oorsprong van de op UEFI gebaseerde malware is terug te voeren tot 2015, toen een Italiaans surveillancetechnologiebedrijf bekend als Hacking Team het slachtoffer werd van gegevensdiefstal. De gegevens - een project dat zich bezighoudt met UEFI-gerichte malwareaanvallen - lekten kort na dat incident op internet. Het is echter niet duidelijk of de boeven die de leiding hebben op die gegevens hebben vertrouwd of in plaats daarvan een andere BIOS-kwetsbaarheid hebben misbruikt. De infectievector is daarentegen net zo vaag. Hoewel slachtoffers phishing-e-mails van de hackers in kwestie lijken te hebben ontvangen, bevat geen van die e-mails de lading.

Bezig met laden...