臭名昭著的木马程序功能升级,TrickBot针对固件进行攻击

TrickBot是世界上最臭名昭著且适应性最强的僵尸网络恶意软件之一,该恶意软件在《2020年十月份恶意软件之“十恶不赦”排行榜》排在第二位。有报道称该恶意软件正在针对固件漏洞扩展其工具集,部署Bootkit达到完全控制受感染的系统。前几天,我们通过《当今最危险,最广泛的恶意软件Emotet的演变:从银行木马到恶意软件分销商》介绍了恶意软件Emotet,今天谈TrickBot。

新功能被Advanced Intelligence(AdvIntel)和Eclypsium称为“ TrickBoot ”,利用易于使用的工具来检查设备是否存在众所周知的漏洞,然后将恶意代码注入设备的UEFI / BIOS固件中,达到持久存储恶意软件的有效机制。

安全研究人员说:“因为UEFI级植入物是最深、最强大、最隐蔽的形式,标志着TrickBot的发展迈出了重要的一步。通过增加针对特定UEFI / BIOS固件漏洞,TrickBot能够以固件级别的持久性来针对特定的受害者,可以在重新镜像系统甚至设备绑定功能中幸存下来。”

UEFI是固件接口,是BIOS的替代升级品。设计上交BIOS可提高安全性,确保没有恶意软件破坏启动过程。因为UEFI有助于加载操作系统本身,所以一旦感染就算重新安装OS或更换硬盘驱动器,也无济于事。

TrickBot于2016年以银行木马的身份出现,后来逐渐演变为一种多功能的恶意软件即服务(MaaS),该恶意软件能够窃取凭据、电子邮件、财务数据和传播文件加密勒索软件的恶意负载感染系统例如Conti和Ryuk。也被发现与Emotet(《2020年十月份恶意软件之“十恶不赦”排行榜》排在第一位)活动一起部署Ryuk勒索软件而被观察到。

安全研究人员说:“他们最常见的攻击链主要是借助Emotet垃圾邮件活动开始的,然后再加载TrickBot和/或其他加载程序,然后转移到诸如PowerShell Empire或Cobalt Strike之类的攻击工具上,以实现与受害组织有关的目标上部署Conti或Ryuk勒索软件。”

据报道称,微软赛门铁克、ESET、FS-ISAC和Lumen的合作伙伴称,迄今为止,僵尸网络已经感染了超过一百万台计算机。

从侦察模块到攻击功能

最新研究表明,TrickBot关注点从设备的操作系统扩展到了较低的层次的固件,以避免杀软的检测进行破坏性的或针对间谍的活动。

TrickBot的侦察组件在2020年10月由美国网络司令部和微软逆向首次观察到,其目标是基于Intel的Skylake到Comet Lake芯片组的系统,以探测受感染的UEFI固件中的漏洞。

安全研究人员还发现,TrickBoot使用RWEverything工具的RwDrv.sys驱动程序的模糊副本来检查包含UEFI / BIOS固件的SPI闪存芯片,以检查BIOS控制寄存器是否已解锁以及BIOS区域的内容是否可以解锁。

到目前为止,活动仅限于侦察,但如果扩展此功能将恶意代码写入系统固件也是轻而易举的事情,在操作系统之前执行并为安装后门铺平了道路。鉴于TrickBot的大小和影响范围,此种攻击可能会带来严重的后果。TrickBoot仅需要一小段代码,就可以对发现的任何易受攻击的设备进行加密,够使大量设备变砖。凭借UEFI的持久性, TrickBot可以禁用任何OS级别的安全控制,重新使用经过修改的OS,在不费吹灰之力的情况下执行目标。

为减轻此类威胁,建议保持固件最新,启用BIOS写保护,并验证固件完整性以防止未经授权的修改。

2020年十月份恶意软件之“十恶不赦”排行榜

当今最危险,最广泛的恶意软件Emotet的演变:从银行木马到恶意软件分销商

安全警告:Oracle Oracle WebLogic严重漏洞被多个僵尸网络利用

(0)

相关推荐