ตรวจพบ Ransomware สายพันธุ์ใหม่ชื่อ HybridPetya ซึ่งสามารถ Bypass การทำงานของ UEFI Secure Boot เพื่อทำการติดตั้งแอปพลิเคชันอันตรายลงใน EFI System Partition ได้

HybridPetya ดูเหมือนจะได้รับแรงบันดาลใจจากมัลแวร์ Petya/NotPetya ซึ่งเคยเข้ารหัสคอมพิวเตอร์ และทำให้ Boot Windows ไม่ได้ในการโจมตีเมื่อปี 2016 และ 2017 โดยไม่มีวิธีกู้คืนข้อมูล

นักวิจัยจากบริษัท ESET พบตัวอย่างของ HybridPetya บน VirusTotal โดยระบุว่า มัลแวร์นี้อาจเป็นโครงการวิจัย, Proof-of-Concept (PoC) หรือเป็นเวอร์ชันเริ่มต้นของเครื่องมือของกลุ่มอาชญากรรมไซเบอร์ ที่ยังอยู่ในระยะทดลอง

อย่างไรก็ตาม ESET ระบุว่า การพบ HybridPetya ครั้งนี้ เป็นอีกหนึ่งตัวอย่าง (เช่นเดียวกับ BlackLotus, BootKitty และ Hyper-V Backdoor) ที่แสดงให้เห็นว่า UEFI bootkit ซึ่งมีความสามารถ Bypass การป้องกัน Secure Boot นั้นเป็นภัยคุกคามที่เกิดขึ้นจริง

HybridPetya ผสานลักษณะเด่นของ Petya และ NotPetya เข้าด้วยกัน ทั้งในด้านลักษณะการแสดงผล และขั้นตอนการโจมตีของมัลแวร์รุ่นเก่าเหล่านั้น

อย่างไรก็ตาม ผู้พัฒนา Ransomware HybridPetya ได้เพิ่มความสามารถใหม่ เช่น การติดตั้งลงใน EFI System Partition และความสามารถในการ Bypass การป้องกัน Secure Boot โดยอาศัยช่องโหว่ CVE-2024-7344

ESET ค้นพบช่องโหว่นี้เมื่อเดือนมกราคมปีนี้ โดยปัญหานี้เกิดจาก แอปพลิเคชันที่มีการ signed โดย Microsoft ซึ่งอาจถูกผู้โจมตีใช้เพื่อติดตั้ง Bootkit ได้ แม้ว่า Secure Boot ของเครื่องเป้าหมายจะยังทำงานอยู่

เมื่อเริ่มทำงาน HybridPetya จะตรวจสอบว่าคอมพิวเตอร์เป้าหมายใช้ UEFI แบบ GPT partitioning หรือไม่ จากนั้นจะปล่อย Bootkit อันตรายลงใน EFI System Partition ซึ่งประกอบด้วยไฟล์หลายไฟล์

ซึ่งไฟล์เหล่านี้ประกอบด้วย ไฟล์ configuration และ validation, modified bootloader, fallback UEFI Bootloader, exploit payload container และ status file สำหรับติดตามความคืบหน้าของการ encryption

ESET ระบุไฟล์ที่พบในหลายเวอร์ชันของ HybridPetya ดังนี้

\EFI\Microsoft\Boot\config – เก็บข้อมูล encryption flag, key, nonce และ victim ID
\EFI\Microsoft\Boot\verify – ใช้สำหรับตรวจสอบ decryption key ว่าถูกต้องหรือไม่
\EFI\Microsoft\Boot\counter – ใช้ติดตามความคืบหน้าของการ encrypted clusters
\EFI\Microsoft\Boot\bootmgfw.

มีรายงานการค้นพบช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงใหม่มากถึง 23 รายการ ในการใช้งานที่แตกต่างกันของ UEFI firmware ซึ่งถูกใช้งานจาก Vendor จำนวนมาก รวมไปถึง Bull atos, Fujitsu, HP, Juniper Networks, Lenovo, และ Vendor อื่น ๆ อีกมากมาย

ช่องโหว่ดังกล่าวเกิดขึ้นภายใน InsydeH2O UEFI ของ Insyde Software ตามข้อมูลของบริษัทรักษาความปลอดภัย Binarly โดยความผิดปกติส่วนใหญ่ที่พบอยู่ในโหมดของการจัดการระบบ System Management Mode (SMM)

UEFI เป็นซอฟต์แวร์ Specification ที่ช่วยให้อินเทอร์เฟซของโปรแกรมสามารถเชื่อมต่อระหว่างเฟิร์มแวร์ของคอมพิวเตอร์กับระบบปฏิบัติการในระหว่างกระบวนการบูต โดยในระบบ x86 firmware UEFI มักจะถูกเก็บไว้ในชิปหน่วยความจำแฟลชของเมนบอร์ด

"โดยการใช้ช่องโหว่เหล่านี้ ผู้โจมตีสามารถติดตั้งมัลแวร์ที่แม้จะมีการติดตั้งระบบปฏิบัติการใหม่ก็สามารถยังทำงานอยู่ได้ และทำให้สามารถ Bypass โซลูชั่นความปลอดภัยจำพวก Endpoint(EDR/AV), Secure Boot, และ Virtualization-Based Security isolation ได้อีกด้วย" นักวิจัยกล่าว

การใช้ประโยชน์จากช่องโหว่ (CVSS scores: 7.5 - 8.2) อาจทำให้ผู้ไม่หวังดีเรียกใช้โค้ดด้วยสิทธิ์ SMM ซึ่งเป็นโหมดการดำเนินการพิเศษใน x86-based processors ที่จัดการด้าน power management, hardware configuration, thermal monitoring, และฟังก์ชั่นอื่น ๆ

"SMM ทำงานในระดับสิทธิ์สูงสุด และไม่ปรากฏบน OS ซึ่งทำให้เป็นเป้าหมายที่น่าสนใจสำหรับใช้ในการโจมตี" Microsoft ระบุในเอกสารประกอบว่า การเพิ่มช่องทางการโจมตีด้วยช่องโหว่ SMM อาจถูกนำไปใช้ร่วมกันในการโจมตีลักษณะอื่นๆได้

ที่แย่ไปกว่านั้น ผู้โจมตียังสามารถใช้ช่องโหว่ต่างๆร่วมกันเพื่อ bypass security features และติดตั้งมัลแวร์ ในลักษณะที่สามารถคงอยู่ได้หลังจากการติดตั้งระบบปฏิบัติการใหม่ และคงอยู่ในระยะยาวบนระบบที่ถูกบุกรุกได้สำเร็จ จากข้อสังเกตในกรณีของ MoonBounce มีการแอบสร้างช่องทางการเชื่อมต่อออกไปภายนอกเพื่อขโมยข้อมูลที่มีความสำคัญออกไปด้วย

Insyde ได้เปิดตัวแพตช์ firmware ที่แก้ไขช่องโหว่เหล่านี้ แต่ความจริงที่ว่าซอฟต์แวร์นี้ถูกใช้ในการใช้งาน OEM หลายตัว หมายความว่าอาจต้องใช้เวลาพอสมควรก่อนที่การแก้ไขจะทะยอยลงไปยังอุปกรณ์ที่ได้รับผลกระทบ

ที่มา : thehackernews

Supermicro และ Pulse Secure ได้ออกคำแนะนำและเตือนภัยถึงเมนบอร์ดบางตัวที่มีความเสี่ยงต่อการถูกโจมตีของมัลแวร์ TrickBot หรือที่เรียกว่า TrickBoot ด้วยความสามารถใหม่ที่มีโมดูลการเเพร่กระจายมัลแวร์บนเฟิร์มแวร์ UEFI

เมื่อปีที่แล้วบริษัทรักษาความปลอดภัยทางไซเบอร์ Advanced Intelligence และ Eclypsium ได้เปิดเผยถึงรายงานการค้นพบเกี่ยวกับโมดูลใหม่ในมัลแวร์ TrickBoot ที่มุ่งเป้าการเเพร่กระจายมัลแวร์ไปที่ยังเฟิร์มแวร์ UEFI ของอุปกรณ์ ซึ่งภายในมัลแวร์จะมีฟังก์ชันในการอ่าน, เขียนและลบเฟิร์มแวร์ ซึ่งมัลแวร์ยังสามารถปิดการควบคุมความปลอดภัยของระบบปฏิบัติการหรือปิดการติดตั้งระบบปฏิบัติการใหม่จากผู้ใช้ได้

ในคำแนะนำของ Supermicro ซึ่งได้ระบุว่าเมนบอร์ดตะกูล X10 UP-series บางตัวมีความเสี่ยงต่อ การโจมตีมัลแวร์ TrickBoot โดยเมนบอร์ด X10 UP-series รุ่นที่มีความเสี่ยงมีดังนี้

X10SLH-F ( EOL วันที่ 3/11/2021)
X10SLL-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLM-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLL + -F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLM + -F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLM + -LN4F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLA-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SL7-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLL-S / -SF (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)

ทั้งนี้ Supermicro ได้เปิดตัว BIOS เวอร์ชัน 3.4 เพื่อแก้ไขช่องโหว่แล้วแต่สามารถใช้ได้สำหรับเมนบอร์ด X10SLH-F เท่านั้น ซึ่งสำหรับเมนบอร์ดที่หมดอายุการซัพพอร์ตผู้ใช้ต้องติดต่อ Supermicro เพื่อขอการใช้งาน BIOS เวอร์ชันใหม่

สำหรับ Pulse Secure ได้ออกคำแนะนำสำหรับอุปกรณ์ Pulse Secure Appliance 5000 (PSA-5000) และ Pulse Secure Appliance 7000 (PSA-7000) ที่ทำงานบนฮาร์ดแวร์ Supermicro ที่มีช่องโหว่ โดย Pulse Secure ได้เปิดตัวแพตช์ BIOS สำหรับอุปกรณ์ Pulse Connect Secure หรือ Pulse Policy Secure ซึ่ง Pulse Secure ได้เตือนถึงแพตช์อัปเดต BIOS จะต้องรีบูตอุปกรณ์ด้วยเมื่อทำการอัปเดตเสร็จ ผู้ใช้ควรทำการอัปเดตแพตช์ BIOS ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการถูกโจมตีจาก TrickBoot

ที่มา: bleepingcomputer

มัลแวร์ TrickBot เพิ่มฟีเจอร์ใหม่ TrickBoot ทำให้มัลแวร์สามารถเข้าควบคุมเฟิร์มแวร์ในระดับ UEFI ได้

นักวิจัยจากบริษัท Advanced Intelligence (AdvIntel) และ Eclypsium ได้ออกรายงานถึงการพบความสามารถใหม่ในโมดูล TrickBot ที่จะช่วยให้มัลแวร์ TrickBot สามารถเข้าถึงแล้วควบคุม BIOS หรือเฟิร์มแวร์ UEFI ของคอมพิวเตอร์ที่ติดไวรัสได้

ตามรายงานของนักวิจัยด้านความปลอดภัยซึ่งได้ระบุว่ามัลแวร์ TrickBot ได้ทำการปรับใช้โมดูล bootkit ซึ่งเป็นฟีเจอร์นี้จะช่วยให้มัลแวร์ TrickBot สามารถเข้าถึงแล้วควบคุม BIOS หรือเฟิร์มแวร์ UEFI ของคอมพิวเตอร์ที่ติดไวรัสและมัลแวร์สามารถคงอยู่ได้ต่อไปหลังจากผู้ใช้ทำการติดตั้งระบบปฏิบัติการ อีกทั้งภายในโมดูลยังมีความสามารถที่จะช่วยให้ผู้ประสงค์ร้ายสามารถทำได้ดังนี้

สามารถปิดการเข้าถึงอุปกรณ์จากระยะไกลที่ระดับเฟิร์มแวร์ผ่านการเชื่อมต่อระยะไกลของมัลแวร์ทั่วไป สามารถ Bypass ระบบ Security control เช่น BitLocker, ELAM, Windows 10 Virtual Secure Mode, Credential Guard, Endpoint Protection และซอฟต์แวร์ป้องกันไวรัส เป็นต้น
สามารถทำให้ผู้ประสงค์ร้ายกำหนดเป้าหมายการโจมตีช่องโหว่ Intel CSME หรือบางส่วนของ SPI controller ได้
สามารถ Reverse ACM หรือการอัปเดตไมโครโค้ดที่แก้ไขช่องโหว่ของ CPU เช่น Spectre, MDS เป็นต้น
นักวิจัยด้านความปลอดภัยยังกล่าวอีกว่ามัลแวร์มีโค้ดสำหรับอ่านเขียนและลบเฟิร์มแวร์ ซึ่งปัจจุบันโมดูลของ TrickBot ยังสามารถทำงานกับคอนโทรลเลอร์ SPI เท่านั้น ด้วยมัลแวร์ TrickBot มีความเกี่ยวเนื่องกับกลุ่ม Ransomware ในอนาคตอาจมีความเป็นไปได้ว่ากลุ่มผู้ประสงค์ร้ายนั้นจะใช้ฟีเจอร์ใหม่ของมัลแวร์ TrickBot นี้ทำการทำลายระบบของบริษัทหรือองค์กรต่างๆ ปฏิเสธการจ่ายเงินที่ถูกเรียกร้อง ทั้งนี้โมดูลนี้ยังสามารถใช้เพื่อป้องกันไม่ให้ทำการค้นหาหลักฐานทางนิติวิทยาศาสตร์ที่สำคัญได้โดยทำให้ความสามารถในการบู๊ตของระบบล้มเหลว

ผู้ใช้งานควรหลีกเลี่ยงการการดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่รู้จักและทำการอัปเดตซอฟต์แวร์ป้องกันไวรัสอยู่เสมอเพื่อป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: zdnet | thehackernews

 

ในกิจกรรม #SASatHome นักวิจัยมัลแวร์ Mark Lechtik และ Igor Kuznetsov จาก Kaspersky ออกมาเปิดเผยการตรวจพบและผลการวิเคราะห์มัลแวร์ในเฟิร์มแวร์ UEFI จากระบบซึ่งถูกโจมตีและมีการแจ้งเตือนจากซอฟต์แวร์ Firmware Scanner ว่ามีโค้ดต้องสงสัยอยู่ข้างใน

จากการตรวจสอบโค้ดดังกล่าวในเฟิร์มแวร์ UEFI ทีม Kaspersky ตรวจพบมัลแวร์ซึ่งมีคุณสมับติในการลักลอบดาวน์โหลดและติดตั้งโปรแกรมอันตรายลงสู่ระบบโดยอัตโนมัติเมื่อคอมพิวเตอร์ถูกเปิดใช้งาน ส่วนของมัลแวร์ที่จะถูกดาวน์โหลดมาเพิ่มเติมนั้นถูกเรียกโดย Kaspersky ว่า "MosaicRegressor" malware framework

แม้ว่าการตรวจสอบจะยังไม่สมบูรณ์ Kaspersky พบว่า MosaicRegressor นั้นมีโมดูลในการลักลอบขโมยข้อมูลออกจากระบบ โดยส่วนของโค้ดที่พบในเฟิร์มแวร์ UEFI นั้นอาจเป็นเพียงส่วนหนึ่งในวิธีการฝังตัวของเฟรมเวิร์ค ทีม Kaspersky ยืนยันการพบโมดูลอื่น ๆ ของ MosaicRegressor แล้ว แต่มีเพียงสองระบบเท่านั้นที่พบโค้ดอันตรายใน UEFI โค้ดของ

ระบบส่วนใหญ่ที่ตรวจพบการมีอยู่ของมัลแวร์นี้โดยส่วนใหญ่นั้นเกี่ยวข้องกับองค์กรระหว่างประเทศและกลุ่ม NGO ในแอฟริกา, เอเชียและยุโรป ด้วยลักษณะและความเกี่ยวข้องของเหยื่อนั้นชี้โยงกลับไปที่เกาหลีเหนือ อย่างไรก็ตามทีม Kaspersky กับพบความเหมือนของโค้ดมัลแวร์กับโค้ดที่ถูกพัฒนาโดยกลุ่มแฮกเกอร์จีน ความเกี่ยวข้องของมัลแวร์และปฏิบัติการในตอนนี้จึงเชื่อมโยงกับไปหากลุ่มแฮกเกอร์จีนมากกว่า

ผู้ที่สนใจรายงานการโจมตีและการวิเคราะห์มัลแวร์สามารถดาวโหลดรายงานฉบับดังกล่าวได้ที่ : Kaspersky

ที่มา : Zdnet

สำนักงานความมั่นคงแห่งชาติสหรัฐฯ (National Security Agency - NSA) ออกคู่มือใหม่ในการตั้งค่า UEFI Secure Boot เพื่อป้องกันการถูกโจมตีในระดับเฟิร์มแวร์ เช่น การฝังมัลแวร์ในส่วนเฟิร์มแวร์ก่อนที่ OS จะเริ่มทำงาน รวมไปถึงการโจมตีด้วยช่องโหว่ BootHole (CVE-2020-10713)

การโจมตีในระดับเฟิร์มแวร์ไม่ใช่เรื่องที่ไกลเกินจริง ด้วยลักษณะของเฟิร์มแวร์ที่จะต้องถูกเปิดทำงานก่อนระบบปฏิบัติการ และความยากที่ซอฟต์แวร์ Antivirus และ EDR บางประเภทจะตรวจสอบพบ มัลแวร์ในกลุ่ม Bootkit จึงกำลังได้รับความนิยมมากขึ้นในปฏิบัติการจริง ในปัจจุบันมีการตรวจพบมัลแวร์กลุ่ม Bootkit ชื่อ Lojax ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์รัสเซีย Fancy Bear หรือ APT28 แล้ว

ในภาพรวม NSA แนะนำให้คอมพิวเตอร์ที่ต้องการความปลอดภัยต่อมัลแวร์ประเภทนี้จริงๆ ให้

หยุดใช้ BIOS หรือ UEFI-CSM ซึ่งเป็นรุ่นเก่า และเปลี่ยนไปใช้ UEFI native แทน
เปิด Secureboot เสมอและตั้งค่าให้บันทึกการเปลี่ยนแปลงระดับเฟิร์มแวร์
อัปเดตเฟิร์มแวร์ให้บ่อยเท่ากับที่อัปเดตระบบ
เปิดใช้ TPM เพื่อช่วยเช็คและยืนยันความถูกต้องของเฟิร์มแวร์และการตั้งค่า Secure Boot

หากใน Threat model ใครมีโอกาสจะเจอภัยคุกคามในลักษณะนี้ เช่น เป็นสายลับให้กับรัฐบาล หรือเป็นเป้าหมายของการโจมตีของแฮกเกอร์จากประเทศอื่น แนะนำให้อ่านคู่มือฉบับเต็มได้ที่ https://media.