El descubrimiento del nuevo rootkit UEFI expone una fea verdad: los ataques son invisibles para nosotros

El descubrimiento del nuevo rootkit UEFI expone una fea verdad: los ataques son invisibles para nosotros

imágenes falsas

Los investigadores han desempaquetado un importante hallazgo de seguridad cibernética: un rootkit basado en UEFI malicioso que se usa desde 2016 para garantizar que las computadoras permanezcan infectadas incluso si se reinstala un sistema operativo o se reemplaza completamente un disco duro.

El firmware compromete la UEFI, la cadena de firmware de bajo nivel y altamente opaca necesaria para arrancar casi todas las computadoras modernas. Como el software que une el firmware d el dispositivo de una PC con su sistema operativo, el UEFI, abreviatura de Interfase Extensible de Firmware Unificado

— es un sistema operativo por derecho propio. Está ubicado en un SPI-Chip de almacenamiento flash conectado soldado a la placa base de la computadora, lo que dificulta la inspección o parcheo del código. Debido a que es lo primero que se ejecuta cuando se enciende una computadora, influye en el sistema operativo, las aplicaciones de seguridad y todo el software que sigue.

Exótico, sí. Raro, no.

El lunes, investigadores de Kaspersky CosmicStrand perfilado, el nombre de la empresa de seguridad para un rootkit UEFI sofisticado que la empresa detectó y obtuvo a través de su software antivirus. El hallazgo se encuentra entre un puñado de tales amenazas UEFI que se sabe que se han utilizado en la naturaleza. Hasta hace poco, los investigadores suponían que las demandas técnicas requeridas para desarrollar malware UEFI de este calibre lo ponían fuera del alcance de la mayoría de los actores de amenazas. Ahora, con Kaspersky atribuyendo CosmicStrand a un grupo desconocido de piratas informáticos de habla china con posibles vínculos con el malware cryptominer, este tipo de malware puede no ser tan raro después de todo.

“El aspecto más sorprendente de este informe es que este implante UEFI parece haber sido utilizado desde fines de 2016, mucho antes de que los ataques UEFI comenzaran a describirse públicamente”, escribieron los investigadores de Kaspersky. “Este descubrimiento plantea una pregunta final: si esto es lo que los atacantes estaban usando en ese entonces, ¿qué están usando hoy?”

Mientras que los investigadores de la empresa de seguridad compañera Qihoo360 reportado en una variante anterior del rootkit en 2017, Kaspersky y la mayoría de las otras empresas de seguridad con sede en Occidente no se dieron cuenta. La investigación más reciente de Kaspersky describe en detalle cómo el rootkit, que se encuentra en las imágenes de firmware de algunas placas base Gigabyte o Asus, puede secuestrar el proceso de arranque de las máquinas infectadas. Los fundamentos técnicos atestiguan la sofisticación del malware.

Un rootkit es una pieza de malware que se ejecuta en las regiones más profundas del sistema operativo que infecta. Aprovecha esta posición estratégica para ocultar información sobre su presencia al propio sistema operativo. Mientras tanto, un bootkit es un malware que infecta el proceso de arranque de una máquina para persistir en el sistema. El sucesor del BIOS heredado, UEFI es un estándar técnico que define cómo los componentes pueden participar en el inicio de un sistema operativo. Es el más “reciente”, ya que se introdujo alrededor de 2006. Hoy en día, casi todos los dispositivos son compatibles con UEFI en lo que respecta al proceso de arranque. El punto clave aquí es que cuando decimos que algo ocurre en el nivel UEFI, significa que sucede cuando la computadora se está iniciando, incluso antes de que se haya cargado el sistema operativo. Cualquier estándar que se utilice durante ese proceso es solo un detalle de implementación, y en 2022, casi siempre será UEFI de todos modos.

En un correo electrónico, el investigador de Kaspersky Ivan Kwiatkowski escribió:

Por lo tanto, un rootkit puede o no ser un bootkit, dependiendo de dónde esté instalado en la máquina de la víctima. Un bootkit puede o no ser un rootkit, siempre que infecte un componente utilizado para el inicio del sistema (pero teniendo en cuenta el bajo nivel que suelen tener, los bootkits suelen ser rootkits). Y el firmware es uno de los componentes que pueden ser infectados por bootkits, pero también hay otros. CosmicStrand resulta ser todo esto al mismo tiempo: tiene las capacidades de rootkit sigiloso e infecta el proceso de arranque a través de parches maliciosos de la imagen de firmware de las placas base.

El flujo de trabajo de CosmicStrand consiste en establecer “ganchos” en puntos cuidadosamente seleccionados en el proceso de arranque. Los ganchos son modificaciones al flujo de ejecución normal. Por lo general, vienen en forma de código adicional desarrollado por el atacante, pero en algunos casos, un usuario legítimo puede inyectar código antes o después de una función particular para generar una nueva funcionalidad.

El flujo de trabajo de CosmicStrand se ve así:

  • El firmware infectado inicial arranca toda la cadena.
  • El malware configura un gancho malicioso en el administrador de arranque, lo que le permite modificar el cargador del kernel de Windows antes de que se ejecute.
  • Al alterar el cargador del sistema operativo, los atacantes pueden configurar otro gancho en una función del kernel de Windows.
  • Cuando esa función se llama más tarde durante el procedimiento de inicio normal del sistema operativo, el malware toma el control del flujo de ejecución por última vez.
  • Despliega un shellcode en la memoria y se comunica con el servidor C2 para recuperar la carga útil maliciosa real para ejecutarla en la máquina de la víctima.

Leave a Reply

Your email address will not be published. Required fields are marked *