اولین روت کیت UEFI با نام LoJax

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 


اولین روت کیت UEFI با نام LoJax
q968
پژوهشگران روت کیت (Rootkit) UEFI را کشف کرده‌اند که معتقد هستند توسط برای جاسوسی از دولت‌های اروپايی ساخته شده است.
يک روت کیت بخشی از نرم‌افزار است که خود را در سيستم‌های کامپيوتری مخفی می‌کند و از دسترسی در سطح مدير برای سرقت و تغيير اسناد، جاسوسی از کاربران و کارهای مخرب ديگر استفاده مي‌کنند. روت کیت UEFI در میان‌افزار (firmware) مادربورد مخفی و در نتيجه قبل از سيستم عامل و نرم‌افزارهای ضد ويروس اجرا می‌شود و در ماشين آلوده به صورت غيرقابل تشخيص و با دسترسی بالا باقی می‌ماند.
براساس گفته ESET، يک روت کیت میان‌افزار که به اسم LoJax نام برده شده است با هدف رايانه‌های ويندوزی سازمان‌های دولتی در حوزه بالکان در مرکز و شرق اروپا مورد استفاده قرار گرفته است. از مظنونين اصلی که پشت اين نرم‌افزار قرار دارند گروه هکری Fancy Bear ( با نام‌های مستعار Sednit، Sofacy و APT۲۸) هستند. گروه Fancy Bear همان هکرهايی هستند که گفته می‌شود سرورهای حزب دموکرات امريکا، شبکه تلويزيونی TV۵ فرانسه و .. را هک کرده‌اند.
اين بدافزار بر پايه نسخه قديمی از نرم‌افزار قانونی LoJack است که توسط Absolute Software برای لپ‌تاپ‌ها فراهم شده است و معمولاً توسط سازندگان لپ‌تاپ‌ها نصب می‌گردد تا در صورتی که دستگاه به سرقت رود بتوان آن را رديابی کرد. کد در میان ‌افزار UEFI مخفی شده است. در نتيجه در صورتی که رايانه هک شود، اطلاعات مکانی صاحب اصلی آن را فاش خواهد کرد.
براساس گزارشات منتشر شده در ماه می، مشخص شده است LoJack توسط Fancy Bear استفاده مجدد شده است تا LoJax توسعه داده شود. حال ESET اسنادی را از جزئيات اين جاسوس‌افزار منتشر کرده است که می‌تواند برای تشخيص و حذف آن کمک کند.
اساساً، مهاجمان يک ماشين را با بدست آوردن دسترسی سطح مدير و سپس تغيير میان‌افزار مادربورد برای نصب ماژول بدافزار UEFI آماده می‌کنند و سپس LoJax در هر زمان که رايانه بوت شود نصب و راه‌اندازی می‌شود.
اين کد بد‌افزار کارش را قبل از سيستم عامل و ابزارهای ضد ويروس شروع می‌کند بنابراين عوض کردن هارد ديسک و يا نصب مجدد سيستم عامل تأثيری در از بين رفتن بدافزار نخواهد داشت زيرا بدافزار در فلش SPI سيستم ذخيره شده است و مجدد خود را روی ديسک جديد و يا پاک شده نصب خواهد کرد.
پس از اجرا و بالا آمدن، LoJax با سرورهای راه دور که به صورت وب سايت‌های عادی بوده ارتباط بر قرار مي‌کند و سپس درخواست‌های آن‌ها را برای انجام دانلود می‌کند.
تيم ESET در گزارشی نوشته است:
" تعداد محدودی از نمونه‌های LoJax در طول تحقيق کشف شده است. بر اساس داده‌های تست و ابزار Sednit، اين نتيجه حاصل شده که اين ماژول‌ها بسيار کمتر از ساير بدافزارهاي ديگر مورد استفاده قرار گرفته‌اند و هدف اصلی آنها اکثراً دولت‌هاي حوزه بالکان در مرکز و شرق اروپا هستند.
مشاهدات نشان می‌دهد بدافزار در نوشتن يک ماژول بدافزار UEFI در حافظه فلش SPI موفق بوده است. اين ماژل قادر است که بدافزار را در زمان فرايند بوت در ديسک قرار دهد و آن را اجرا کند."
LoJack که با نام Computrance نيز شناخته می‌شود که يک چارچوب مناسب برای طراحی سطح میان‌افزار جاسوس‌افزار مخفی است. LoJax از درايور کرنل RwDrv.sys برای بازنويسی میان‌افزار فلش UEFI و برای ذخيره خود استفاده می‌کند بنابراين زمانی که رايانه روشن می‌شود، خود را در ديسک کپی کرده و اجرا می‌نمايد. اين درايور کرنل از ابزار قانونی به نام RWEverything گرفته شده است.
اگر Secure Boot فعال باشد سبب می‌شود که LoJax نتواند خود را در حافظه میان‌افزار قرار دهد، زيرا کد داری امضاء معتبر ديجيتال نيست و در زمان بالا آمد سيستم از آن صرف نظر مي‌شود. البته اين امر نياز به پيکربندی Secure Boot قوی است تا با دسترسی خواندن و نوشتن به حافظه UEFI بتواند دسترسی سطح مدير بدافزار را خنثی کند.
در تنظيمات سفت‌افزار می‌توان با مسدود کردن عمليات نوشتن، نصب در فلش مادربورد را غیر فعال کرد. اگر در بايوس بخش write-enable خاموش شود، بخش lock-enable روشن و SMM BIOS write-protection فعال باشد، ديگر بدافزار نمی‌تواند خود را در حافظه فلش مادربورد بنويسد. همچنين يک راه ديگر، پاک کردن حافظه ديسک و میان‌افزار است که می‌تواند باعث از بين رفتن اين نوع روت کیت شود.

IOC ها:


ReWriter_read.exe
ESET detection name
Win۳۲/SPIFlash.A
SHA-۱
ea۷۲۸abe۲۶bac۱۶۱e۱۱۰۹۷۰۰۵۱e۱۵۶۱fd۵۱db۹۳b

ReWriter_binary.exe
ESET detection name
Win۳۲/SPIFlash.A
SHA-۱
cc۲۱۷۳۴۲۳۷۳۹۶۷d۱۹۱۶cb۲۰eca۵ccb۲۹caaf۷c۱b

SecDxe
ESET detection name
EFI/LoJax.A
SHA-۱
f۲be۷۷۸۹۷۱ad۹df۲۰۸۲a۲۶۶bd۰۴ab۶۵۷bd۲۸۷۴۱۳
info_efi.exe
ESET detection name
Win۳۲/Agent.ZXZ
SHA-۱
۴b۹e۷۱۶۱۵b۳۷aea۱eaeb۵b۱cfa۰eee۰۴۸۱۱۸ff۷۲

autoche.exe
ESET detection name
Win۳۲/LoJax.A
SHA-۱
۷۰۰d۷e۷۶۳f۵۹e۷۰۶b۴f۰۵c۶۹۹۱۱۳۱۹۶۹۰f۸۵۴۳۲e

Small agent EXE
ESET detection names
Win۳۲/Agent.ZQE
Win۳۲/Agent.ZTU
SHA-۱
۱۷۷۱e۴۳۵ba۲۵f۹cdfa۷۷۱۶۸۸۹۹۴۹۰d۸۷۶۸۱f۲۰۲۹
ddaa۰۶a۴۰۲۱baf۹۸۰a۰۸caea۸۹۹f۲۹۰۴۶۰۹۴۱۰b۹
۱۰d۵۷۱d۶۶d۳ab۷b۹ddf۶a۸۵۰cb۹b۸e۳۸b۰۷۶۲۳c۰
۲۵۲۹f۶eda۲۸d۵۴۴۹۰۱۱۹d۲۱۲۳d۲۲da۵۶۷۸۳c۷۰۴f
e۹۲۳ac۷۹۰۴۶ffa۰۶f۶۷d۳f۴c۵۶۷e۸۴a۸۲dd۷ff۱b
۸e۱۳۸eecea۸e۹۹۳۷a۸۳bffe۱۰۰d۸۴۲d۶۳۸۱b۶bb۱
ef۸۶۰dca۷d۷c۹۲۸b۶۸c۴۲۱۸۰۰۷fb۹۰۶۹c۶e۶۵۴e۹
e۸f۰۷caafb۲۳eff۸۳۰۲۰۴۰۶c۲۱۶۴۵d۸ed۰۰۰۵ca۶
۰۹d۲e۲c۲۶۲۴۷a۴a۹۰۸۹۵۲fee۳۶b۵۶b۳۶۰۵۶۱۹۸۴f
f۹۰ccf۵۷e۷۵۹۲۳۸۱۲c۲c۱da۹f۵۶۱۶۶b۳۶d۱۴۸۲be

C&C server domain names
secao[.]org
ikmtrust[.]com
sysanalyticweb[.]com
lxwo[.]org
jflynci[.]com
remotepx[.]net
rdsnets[.]com
rpcnetconnect[.]com
webstp[.]com
elaxo[.]org

C&C server IPs
۱۰۶[.]۱۸۵,۷۷.۱۲۹
۲۳۹[.]۱۸۵,۱۴۴.۸۲
۱۰۳[.]۹۳,۱۱۳.۱۳۱
۵۴[.]۱۸۵,۸۶.۱۴۹
۱۰۴[.]۱۸۵,۸۶.۱۵۱
۴۳[.]۱۰۳,۴۱.۱۷۷
۱۸۴[.]۱۸۵,۸۶.۱۴۸
۶۵[.]۱۸۵,۹۴.۱۹۱
۵۴[.]۸۶,۱۰۶.۱۳۱

Small agent DLL
Win۳۲/Agent.ZQE
SHA-۱
۳۹۷d۹۷e۲۷۸۱۱۰a۴۸bd۲cb۱۱bb۵۶۳۲b۹۹a۹۱۰۰dbd
C&C server domain names
elaxo[.]org
C&C server IPs
۵۴[.]۸۶,۱۰۶.۱۳۱

منبع:
/https://www.theregister.co.uk/۲۰۱۸/۰۹/۲۸/uefi_rootkit_apt۲۸


منبع: مرکز مدیریت راهبردی افتا ریاست جمهوری