Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Publicerad - Sårbarhet UEFI

UEFI-rootkit i det "vilda"

UEFI-rootkit har funnits länge som ett Proof of Concept (PoC) på konferenser och tagits upp som en av de mer allvarliga attackerna en organisation skulle kunna råka ut för.

Vad har hänt?

Under de senaste dagarna har Sednit APT lyckats plantera ett EUFI/BIOS-rootkit på ett flertal system som har uppmärksammats i det ”vilda”. I dagsläget så har sårbarheten endast detekterats på Windows-system, då den sårbara modulen planterades in i programvaran Lojack (tidigare Computrace), vilket gav rootkitet smeknamnet Lojax.[1]

Lojack-programvaran är installerat i många datorers systemfirmware, och används för att kunna spåra och låsa datorn om den kommer i orätta händer. Lojax använder sig av drivrutinen RwDrv.sys, som är kopplad till programvaran RWEverything för att skriva till UEFI/BIOS.

Lojax-modulen används bland annat för att exekvera skadlig kod under bootprocessen, och/eller för att läsa ut information direkt från minnet. När trojanen väl är installerad på datorn så är det enda sättet att bli av med den en ominstallation av firmware på den drabbade datorn.

Om ett system skulle bli drabbat av en Lojax-attack, eller någon annan form av UEFI/BIOS root-kit, så är det mycket svårt att upptäcka dessa. De versioner som vi har sett kräver att modulen som är inläst i firmwaren måste spara ner en exekverbar fil till hårddisken för att kunna vara effektiv. Dock kan dessa filer i sig skyddas från upptäckt i det egna systemet då de laddas innan uppstarten av operativsystemet, vilket gör att man måste undersöka disken från ett fristående system.

Rekommendationer

För att skydda sig mot den här typen av attack så ger CERT-SE idag följande råd:

  • Använd secure boot för att förhindra att icke signerade och godkända komponenter laddas. Vi rekommenderar att om möjligt aktivera detta då det är det enklaste och mest effektiva sättet att förhindra den här typen av attack idag
  • Håll UEFI-firmwaren uppdaterad med den senaste versionen

En fullständig analys finns att läsa på nedanstående länk:
https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf

IoC:er

"sha1": "09d2e2c26247a4a908952fee36b56b360561984f"
"sha1": "10d571d66d3ab7b9ddf6a850cb9b8e38b07623c0"
"sha1": "1771e435ba25f9cdfa77168899490d87681f2029"
"sha1": "2529f6eda28d54490119d2123d22da56783c704f"
"sha1": "397d97e278110a48bd2cb11bb5632b99a9100dbd"
"sha1": "4b9e71615b37aea1eaeb5b1cfa0eee048118ff72"
"sha1": "700d7e763f59e706b4f05c69911319690f85432e"
"sha1": "8e138eecea8e9937a83bffe100d842d6381b6bb1"
"sha1": "cc217342373967d1916cb20eca5ccb29caaf7c1b"
"sha1": "ddaa06a4021baf980a08caea899f2904609410b9"
"sha1": "e8f07caafb23eff83020406c21645d8ed0005ca6"
"sha1": "e923ac79046ffa06f67d3f4c567e84a82dd7ff1b"
"sha1": "ea728abe26bac161e110970051e1561fd51db93b"
"sha1": "ef860dca7d7c928b68c4218007fb9069c6e654e9"
"sha1": "f2be778971ad9df2082a266bd04ab657bd287413"
"sha1": "f90ccf57e75923812c2c1da9f56166b36d1482be"
"fqdn": "elaxo.org"
"fqdn": "ikmtrust.com"
"fqdn": "jflynci.com"
"fqdn": "lxwo.org"
"fqdn": "rdsnets.com"
"fqdn": "remotepx.net"
"fqdn": "rpcnetconnect.com"
"fqdn": "secao.org"
"fqdn": "sysanalyticweb.com"
"fqdn": "webstp.com"

Källor

[1] https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf