Sommige dreigingen omzeilen standaard beveiligingstools. In zulke gevallen zijn er security operators nodig die in staat zijn om diepgaande analyses uit te voeren.
Vorig jaar bevestigde ESET Research geruchten over BlackLotus, de eerste algemeen bekende UEFI bootkit die in staat is om een UEFI Secure Boot te omzeilen en die op ondergrondse forums wordt verkocht. Dit betekent dat malware die aast op fundamentele zwakheden in het UEFI-beveiligingsmodel in-the-wild is en experts verwachten meer bootkits zoals BlackLotus in de nabije toekomst.
“Bootkits zijn niet langer alleen een dreiging voor legacy-systemen, maar een echte dreiging voor de meerderheid van moderne UEFI-firmware systemen,” aldus ESET-onderzoeker Martin Smolár, die deze voorheen ongedocumenteerde UEFI bootkit ontdekte en zijn bevindingen presenteerde op de RSA 2024 conferentie.De RSA Conferentie is een jaarlijks terugkerend evenement dat zich richt op cybersecurity en aanverwante onderwerpen. Het wordt beschouwd als een van de belangrijkste conferenties op het gebied van informatiebeveiliging wereldwijd. De conferentie biedt een platform voor cybersecurity professionals om de nieuwste trends, technologieën, en uitdagingen in de sector te bespreken. Houd onze website in de gaten voor de key takeaways van de RSA Conferentie vanuit onze eigen collega’s.
|
Deze dreiging creëert een uitdaging voor bedrijven: Hoe kunnen ze hun apparaten beveiligen tegen aanvallen die niet volledig voorkomen kunnen worden door simpelweg de standaard aanbevelingen op te volgen en de standaard systeeminstellingen te gebruiken, omdat er bekende kwetsbaarheden zijn die nog niet verholpen zijn en misschien wel nooit verholpen zullen worden?
Hoewel bedrijven op dit moment aan het kortste eind trekken, hebben ze toch hoop. In feite zijn dit de situaties waarin cyberintelligentieplatforms zoals ESET Threat Intelligence uitblinken.
Bevestigde dreiging
In eenvoudige termen zijn UEFI bootkits ernstige dreigingen voor Windows-computers omdat ze controle over het opstartproces van de computer overnemen. Dit geeft ze de mogelijkheid om verschillende beveiligingsfuncties uit te schakelen en zeer onzichtbaar met uitgebreide toegangsrechten te werk kunnen gaan.
Het is niet precies bekend hoe deze aanvallen starten, maar het begint meestal met een installatieprogramma dat de schadelijke bestanden op een speciaal deel van het computersysteem plaatst, bekend als de EFI-systeempartitie. Dit is het deel waar belangrijke bestanden staan die nodig zijn om het besturingssysteem te starten. Met dit programma kunnen aanvallers de eerste verdedigingslinies uitschakelen, waaronder de beveiliging van opstartcodes en encryptie van de harde schijf. Hierna wordt de computer opnieuw opgestart.
Na deze herstart misbruikt de schadelijke software een bekende zwakke plek om een speciale sleutel te registreren, waarmee normaal gesproken alleen goedgekeurde onderdelen van het besturingssysteem kunnen starten. De aanvallers kunnen hierdoor hun schadelijke software legitiem laten lijken. Dit betekent dat ze nog een beveiligingsniveau omzeilen, waarna de computer weer opnieuw opstart.
In de volgende stappen wordt de schadelijke bootkit uitgevoerd, die diep in het systeem kan ingrijpen en zelfs het hoofdbesturingsprogramma van de computer kan beïnvloeden. Er wordt ook gebruik gemaakt van een programma dat zorgt voor de communicatie met een externe server. Het gehackte apparaat kan nu commando's ontvangen en uitvoeren, en extra schadelijke software downloaden.
Bedrijven zijn niet machteloos
Als je deze opeenvolgende stappen voor het kapen van een gecompromitteerde computer bekijkt en weet dat er geen effectieve oplossing is voor oudere apparaten vanwege hun verouderde beveiligingsmechanismen, kun je het gevoel hebben dat je handen vastgebonden zijn.
Maar bedrijven kunnen zichzelf beschermen en zelfs in deze gevallen een preventieve aanpak toepassen.
- Allereerst moeten bedrijven hun systemen en beveiligingsproducten up-to-date houden, zodat aanvallers minder mogelijkheden hebben.
- IT-medewerkers moeten leren wat de mogelijke risico's zijn en hoe ze deze kunnen beperken. Microsoft heeft een beschrijving van dreigingen en richtlijnen voor het onderzoeken van UEFI-aanvallen uitgebracht.
- Stel indien nodig een aangepast veilig opstartbeleid in. Dit vereist echter een ervaren beheerder en is vanwege de complexiteit alleen te beheren met een handvol apparaten.
- Zet betrouwbare bewakingsoplossingen in en configureer hun integriteitsscantools om de samenstelling van de EFI-opstartpartitie te controleren.
- Blokkeer elke poging tot wijziging van alle of specifieke bestanden op de EFI-systeempartitie door niet-vertrouwde processen om de installatie van bootkits te voorkomen.
- Volg de ontwikkelingen van UEFI-malware via Threat Intelligence-platforms en -bronnen.
ESET-oplossingen zoals ESET Enterprise Inspector en ESET UEFI Scanner, dat deel uitmaakt van het ESET Host-based Intrusion Prevention System (HIPS), kunnen tekenen detecteren dat er iets verdachts gebeurt met een apparaat en IT-beheerders waarschuwen. Terwijl ESET UEFI Scanner de beveiliging van de pre-boot omgeving controleert en afdwingt, combineert HIPS geavanceerde gedragsanalyse met de detectiemogelijkheden van netwerkfiltering om draaiende processen, bestanden en registersleutels te monitoren.
Bekijk voor meer informatie de RSA presentatie van ESET onderzoeker Martin Smolár, via de ESET research podcast, en de NSA BlackLotus Mitigation Guide.
Dreigingsactoren een stap voor zijn
Sinds de ontdekking van de in-the-wild UEFI bootkit heeft Microsoft verschillende patches uitgebracht en experts over de hele wereld hebben richtlijnen gegeven. Maar hoe bescherm je een bedrijf vanaf het begin, voordat dit allemaal kan gebeuren?
Om zulke nieuwe dreigingen te identificeren en hun oplossingen hierop aan te passen, investeren wereldwijde leiders in cybersecurity, zoals ESET, veel in onderzoek. ESET Threat Intelligence zet deze inspanning om in een service, die bedrijven voorziet van gecureerde wereldwijde kennis over de activiteiten van dreigingsactoren, verzameld door ESET-analisten en -experts.
Dankzij ESET Threat Intelligence kunnen securityengineers, analisten of incidentresponders ‘as soon as possible' nieuwe dreigingen leren kennen, erop anticiperen en betere, snellere beslissingen nemen. Hierdoor kunnen ze een proactieve verdediging inzetten, hun beveiliging aanpassen en steeds geavanceerdere cyberaanvallen bestrijden.
Bovendien geven ESET APT Reports bedrijven toegang tot private, diepgaande technische analyses samen met tips om dreigingen te beperken. Elke gebruiker met het APT Reports PREMIUM pakket krijgt ook toegang tot een ESET analist voor maximaal vier uur per maand. Dit biedt de mogelijkheid om onderwerpen in meer detail te bespreken en eventuele openstaande problemen op te lossen.
Een uitdaging aangaan
UEFI Bootkits vormen een uitdaging die moeilijk aan te gaan is, maar daarom is het zo belangrijk voor bedrijven en ondernemingen om betrouwbare cyberintelligence te hebben.
Met een wereldwijd verspreid netwerk van beveiligingscentra slapen de onderzoekslaboratoria van ESET nooit en hebben ze als geen ander onmiddellijk toegang tot informatie over dreigingen, dankzij het aantal en de verspreiding van apparaten die over de hele wereld worden beschermd. Gecombineerd met meer dan drie decennia ervaring in cyberbeveiligingsonderzoek en productontwikkeling, kan ESET organisaties voorzien van vitale informatie en deze kennis gebruiken om voortdurend dreigingsverdedigingstechnieken te innoveren.