اخبار امنیت

خانه آگاهی‌رسانی امنیتی اخبار امنیت بدافزاری عجیب و نادر با نام MosaicRegressor

۱۶ مهر ۱۳۹۹

تعداد بازدید: 308

بدافزاری عجیب و نادر با نام MosaicRegressor

کمپانی کسپرسکی به تازگی با استفاده از فناوری پویش Firmware موفق به کشف بدافزاری عجیب و نادر با نام MosaicRegressor شده است. فناوری UEFI (Unified Extensible Firmware Interface) که در کامپیوترهای مدرن جایگزین BIOS شده، هدف اصلی حملات این BootKit عجیب و نادر می‌باشد. در صورتی که سیستمتان  به MosaicRegressor آلوده شود اگر تمام درایو سخت (hard drive) را پاک کنید و حتی سیستم عامل را دوباره نصب کنید تنها عملیات تشخیص و نجات از این بدافزار را دشوارتر کرده‌اید. این بار دومی است که مهاجمان فناوری UEFI را مورد هدف قرار داده‌ و بار دیگر بحث امنیت Firmware را به موضوعی داغ در دنیای امنیت تبدیل کرده‌اند. شرکت کسپرسکی با گنجاندن قابلیت پویش Firmware (Firmware Scanning) توانست در شناسایی این حملات پیشرو باشد.

UEFI چیست؟

UEFI (Unified Extensible Firmware Interface)، فناوری جدیدی است که در کامپیوترهای امروزی جایگزین BIOS شده است. این جایگزینی با هدف بالا بردن امنیت سیستم‌ها صورت گرفته زیرا UEFI برخلاف BIOS قادر به بررسی وجود بدافزار در روند بالا آمدن (boot)  سیستم است. اما مهاجمانی که MoasaicRegressor را توسعه داده‌اند، با هدف قرار دادن UEFI امنیت سیستم‌ها را به صورت جدی به مخاطره انداخته‌اند. زیرا اگر رایانه‌ای به این بدافزار آلوده شود حتی با پاک کردن کامل درایو سخت (hard drive) و یا نصب مجدد سیستم عامل این آلودگی از بین نمی‌رود. زیرا مهاجمین به نقطه‌ای حمله کرده‌اند که خود تسهیل کننده بالا آمدن سیستم عامل است، پس نصب مجدد سیستم عامل تاثیری در از بین بردن آن ندارد. همچنین تعامل UEFI با سخت افزارها و همچنین سیستم عامل در سطح پایین صورت می‌پذیرد. در نتیجه اگر مهاجمین موفق به آلوده کردن این Firmware interface شوند می‌توانند دسترسی‌های بالایی بر روی سیستم قربانی به دست آوردند. علاوه بر این مهاجمین قادر به تزریق بدافزار در هر بار راه اندازی سیستم، سرقت اطلاعات قربانی و کنترل سیستم او و از کار انداختن قابلیت پاک کردن بدافزار توسط برنامه ضد ویروس می‌باشند.

محققان کسپرسکی چطور MoasaicRegressor را کشف کردند؟

محققان کسپرسکی با استفاده از فناوری پویش Firmware موفق به کشف چند UEFI firmware image شدند. تحقیقات بیشتر نشان داد در آن‌ها، چهار مولفه غیرعادی وجود دارد که در حقیقت بخشی از کدهای منبع لو رفته VectorEDK bootkit گروه می‌باشد.

هدف این ماژول های اضافه شده فراخوانی زنجیره ای از وقایع است که منجر به ایجاد یک فایل اجرایی مخرب به نام “IntelUpdate.exe” در پوشه Startuo قربانی می شود. بنابراین ، هنگام شروع ویندوز ، بدافزار نوشتاری نیز فراخوانی می شود. جدا از این ، ماژول ها اطمینان می دهند که اگر پرونده بدافزار از دیسک خارج شود ، مجدداً بازنویسی می شود. از آنجا که این منطق از طریق SPI flash اجرا می شود ، به جز از بین بردن سیستم عامل مخرب ، راهی برای جلوگیری از این روند وجود ندارد. چهار مولفه اضافه شده عبارتند از: SmmInterfaceBase، Ntfs، SmmAccessSub و SmmInterfaceBase. 

آزمایشگاه کسپرسکی با بررسی‌های بیشتر بر روی ماژول‌های کشف شده به بدافزار MoasaicRegressor رسید. وظیفه این ماژول‌ها  تزریق بدافزار به سیستم عامل و حصول اطمینان از آلوده بودن سیستم به بدافزار بعد از هر راه اندازی مجدد می‌باشد. بدافزار MoasaicRegressor بعد از نصب می‌تواند بدافزارهای دیگری را بارگذاری و بر روی سیستم قربانی نصب نمایند. پس از این مرحله نیز قادر به سرقت اطلاعات و سایر حملاتی باشد که در بخش قبلی به آن‌ها اشاره کردیم. سیستم‌های آلوده‌ای که توسط راهکار Firmware Scanner کسپرسکی کشف شدند، متعلق به چندین نهاد مردمی و دیپلمات‌های مستقر در آسیا، اروپا و آفریقا  می‌باشد، که در سال‌های ۲۰۱۷ تا ۲۰۱۹ آلوده شده‌اند. کار بیشتر این افراد مرتبط با کره شمالی بوده است.

سیستم‌ها چطور به MoasaicRegressor آلوده شده‌اند؟

اطلاعات دقیقی از چگونگی overwrite بر روی Firmware اصلی وجود ندارد، اما محققان گمان می‌کنند آلوده کردن اولیه سیستم‌ها از طریق دسترسی فیزیکی مهاجمان انجام شده است. در مواردی نیز نشانه‌هایی از حملات فیشینگ هدفمند یافت شده است. حملاتی که با قصد ارسال بدافزار و از طریق هرزنامه‌هایی به زبان روسی انجام شده است. موضوع این هرزنامه پیرامون مسائل کره شمالی بوده است.  از دیگر یافته‌های کسپرسکی کشف نشانه‌های از زبان کره ای و چینی در کدهای این بدافزار است. همچنین Royal Road (۸٫t) RTF weaponizer نشانه دیگری از وجود گروه‌های چینی در پست MosaicRegressor می‌باشد.

MosaicRegressor اهمیت امنیت در سطح Firmware را به دنیا نشان داد

کشف بدافزار MosaicRegressor بار دیگر اهمیت امنیت در سطح Firmware را به دنیا نشان داد. در واقع MosaicRegressor اثبات کرد که اگر تهدیدی شایع نیست و راه اندازی حملات مرتبط با آن کار ساده‌ای به نظر نمی‌رسد، نباید از آن غافل شد. MosaicRegressor در صورتی که بتواند سیستمی را آلوده نماید، دسترسی بالایی بر روی آن خواهدداشت و قادر به انجام عملیات مختلفی خواهد بود. همچنین با هدف قرار دادن UEFI که کارش تسهیل عملیات بالا آمدن سیستم عامل است، حتی پاک کردن درایو سخت و یا نصب مجدد سیستم عامل نیز تاثیری بر روی آن نخواهد داشت. خوشبختانه شرکت کسپرسکی در محصولاتش راهکار Firmware Scanner را گنجانده و از این طریق پویشی در سطح Firmware را بر روی سیستم‌ها صورت می‌دهد.

راهکار

مرکز ماهر در این خصوص راهکارهای زیر را پیشنهاد کرده است:

  • با توجه به اینکه امکان آلوده کردن UEFI در صورت دسترسی فیزیکی به سیستم بیشتر می‌شود؛ لذا اولا کامپیوترها (بویژه در مراکز حساسی مثل تاسیسات هسته‌ای و …) از مبادی امن تهیه شوند. ثانیا از قرار گرفتن آن‌ها در اختیار افراد نامطمئن (با هدف تعمیر و ارتقا و …) جدا پرهیز شود.
  • از اسکنر مختص میان‌افزارهاییUEFI از قبیل KUEFI کسپرسکی برای اسکن سیستم خود استفاده نمایید.
  • میان افزار UEFIسیستم خود را به‌روزرسانی نمایید.

آرمان داده پویان نمایندگی پلاتینیوم کسپرسکی