6 dic. 2020

TrickBot aprovecha vulnerabilidades de la UEFI para controlar sistemas

TrickBot es un malware muy peculiar, ya que se aprovecha de las vulnerabilidades de la UEFI para adueñarse del sistema de arranque de nuestros ordenadores. Eso es según los investigadores de Eclypsium and Advanced Intelligence (AdvIntel), quienes han descrito los desarrollos, denominados Trickboot, como un riesgo crítico para la seguridad organizacional y nacional. Se ha observado ampliamente que TrickBot trabaja en conjunto con Emotet para propagar Ryuk ransomware.

Aquí se puede conocer si una IP está infectada con TrickBot

"Nuestra investigación descubrió que Trickbot realizaba un reconocimiento de vulnerabilidades de firmware", escribió el equipo de investigación en su anuncio de divulgación. "Esta actividad prepara el escenario para que los operadores de Trickbot lleven a cabo medidas más activas, como la instalación de implantes de firmware y puertas traseras, o la destrucción de un dispositivo específico. Es muy posible que los actores de amenazas ya estén explotando estas vulnerabilidades contra objetivos de alto valor. Amenazas similares centradas en UEFI han pasado años antes de ser detectadas. De hecho, este es precisamente su valor para los atacantes".

Trickboot es especialmente peligroso porque, al igual que con ataques similares, subvertir el proceso de arranque permite a los atacantes obtener el control sobre el sistema operativo del sistema y establecer una persistencia continua.

Pero, ¿qué es UEFI?

UEFI- Interfaz de firmware extensible unificada- es el primer programa que se ejecuta cuando encendemos nuestras computadoras. Su función es gestionar las configuraciones básicas y avanzadas de nuestro sistema. Esquema promovido por compañías como Intel, AMD, Microsoft y otras, para "superar limitaciones de la BIOS".

Como puedes observar, es un factor esencial en el arranque de nuestros equipos. ¿Qué sucede aquí? Como ya mencionamos, piratas informáticos se están aprovechando de las debilidades de esta interfaz para tomar control de nuestra máquina.

TrickBot persiste luego de la reinstación del sistema operativo

Algunas veces cuando nos enfrentamos a esta clase de malwares, como última opción terminamos formateando nuestras computadoras. Pero, TrickBot se presenta un gran problema, ya que persiste luego de la reintalación del sistema operativo. Incluso que reemplacemos unidades de almacenamiento interno, un disco duro, por ejemplo.

TrickBot explora el equipo hasta encontrar debilidades en el firmware UEFI, para leer, escribir y hasta borrarlo. Asimismo, han informado que los ataques se dirigen a plataformas Intel. El informe indica que TrickBoot realiza consultas PCH para conocer el modelo que se ejecuta en el sistema bajo ataque, de modo de saber a qué plataforma se enfrenta.

De igual modo, el estudio muestra que este software usa fwexpl, herramienta de explotación de firmware, para leer y escribir datos de puertos IO de hardware y en las direcciones de memoria física.

El malware TrickBot ahora tiene una funcionalidad diseñada para inspeccionar el firmware UEFI / BIOS de los sistemas de destino. Esto marca un paso significativo en la evolución de TrickBot. Las amenazas a nivel de firmware tienen una importancia estratégica única para los atacantes.

Está claro que TrickBot se beneficiará enormemente al incluir un kit de arranque de nivel UEFI en su cadena de eliminación. Sobrevivirían a los esfuerzos de reinstalar el sistema durante la fase de recuperación de un evento de ransomware Ryuk o Conti, y mejorarían su capacidad para bloquear un dispositivo de forma semipermanente.

Esto proporciona a los actores criminales aún más influencia durante la negociación del rescate, y el grupo TrickBot ya es conocido por ser negociadores de línea dura. Dado que el marco de instalación de malware AchorDNS del grupo TrickBot ha sido utilizado por algunos de los actores criminales, rusos y norcoreanos más notorios para atacar la atención médica, las finanzas, las telecomunicaciones, la educación y la infraestructura crítica, consideramos que este desarrollo es de vital importancia para empresas y seguridad nacional.

Los adversarios que aprovechan TrickBot ahora tienen un medio automatizado para saber cuáles de sus últimos hosts de víctimas son vulnerables a las vulnerabilidades de UEFI, al igual que lo hicieron a partir de 2017 para aprovechar las vulnerabilidades de EternalBlue y EternalRomance para las capacidades de desparasitación. Los equipos de seguridad deben actuar de inmediato para mitigar este riesgo.

Los siguientes gráficos muestran los últimos dos meses de infecciones activas por TrickBot, alcanzando un máximo de 40.000 en un solo día. Conseguir una huella no es un desafío para los operadores de TrickBot. Determinar qué víctimas son objetivos de alto valor y persistir en esos entornos para volver a atacarlos más tarde define una gran parte del conjunto de herramientas de TrickBot y enmarca la importancia de este descubrimiento.

Prevención

Los investigadores recomiendan utilizar un "dispositivo de programación flash SPI" para leer el contenido de chip de memoria SPI, siempre y cuando el sistema esté apagado. Asimismo, aconsejan usar herramientas de código abierto para analizar nuestros equipos y determinar si la protección contra escritura del BIOS está habilitada o no. Aunado a ello, sugieren actualizar el firmware de nuestros equipos.

Sin embargo, son acciones que deben ejecutarse por un profesional debido a la complejidad del asunto. Inclusive, Jesse Michael, investigador principal de Eclypsium expresa que "determinar si un sistema se ha visto comprometido a nivel de firmware UEFI es un trabajo difícil".

Para desgracia de las víctimas, aun después de pagar un rescate por la liberación del sistema, TrickBot puede seguir operando meticulosamente en sus máquinas. Además, no trabaja solo, tiene conexión con otros ciberdelicuentes, con los cuales puede llegar a compartir información valiosa.

Aquí se puede conocer si una IP está infectada con TrickBot

Fuente: Advanced-Intel

1 comentario:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!