互联网最具侵略性的威胁之一已经变得很卑鄙,它具有感染任何现代计算机最重要部分的能力。
Trickbot是一种恶意软件,其高级功能引人注目。它的模块化框架擅长获得强大的管理员特权,在网络中的计算机之间迅速传播,并执行侦察以识别属于高价值目标的受感染计算机。它经常使用Mimikatz等现成的软件,或从国家安全局窃取的EternalBlue等漏洞利用软件。
Trickbot曾经是一个简单的银行欺诈木马,多年来已经发展成为功能齐全的恶意软件即服务平台。 Trickbot运营商将其感染的大量计算机的访问权出售给其他犯罪分子,这些犯罪分子使用僵尸网络传播银行特洛伊木马,勒索软件和许多其他恶意软件。客户不必麻烦自己缠住受害者,而拥有了一组可以运行其犯罪软件的现成计算机。
现在,Trickbot获得了一项新的功能:修改计算机UEFI的功能。 UEFI是统一可扩展固件接口的缩写,是一种将计算机的设备固件与其操作系统连接在一起的软件。作为几乎在任何现代机器上打开时运行的第一个软件,它是安全链中的第一条链接。由于UEFI位于主板上的闪存芯片中,因此很难检测和清除感染。
根据周四发布的研究结果,Trickbot已进行了更新,以包含用于RWEverything的模糊驱动程序,这是一种人们可以用来将固件写入几乎任何设备的现成工具。
目前,研究人员已经检测到Trickbot使用该工具只是为了测试受感染的计算机是否受到保护,以防止对UEFI进行未经授权的更改。但是只需一行代码,就可以对恶意软件进行修改,以感染或完全擦除关键固件。
安全公司AdvIntel和Eclypsium联合发布的帖子中说:“这项活动为TrickBot操作员执行更主动的措施(例如安装固件植入物和后门或破坏目标设备(摧毁)提供了平台”。 “威胁参与者很可能已经在利用这些漏洞攻击高价值目标。”
到目前为止,只有两个记录在案的真实世界恶意软件感染UEFI的案例。第一个是安全提供商ESET在两年前发现的,它是由世界上最先进的黑客组织之一,俄罗斯政府的分支机构Fancy Bear所完成的。通过重新使用合法的防盗工具LoJack,黑客能够修改UEFI固件,以便将其报告给Fancy Bear服务器,而不是属于LoJack的服务器。
总部位于莫斯科的安全公司卡巴斯基实验室(Kaspersky Lab)仅在两个月前才发现了第二批真实的UEFI感染。公司研究人员在两台计算机上发现了恶意固件,这两台计算机均属于亚洲的外交人士。感染将恶意文件植入了计算机的启动文件夹中,因此该文件将在计算机启动时立即运行。存储UEFI的主板驻留闪存芯片具有访问控制机制,可以在引导过程中将其锁定,以防止未经授权的固件更改。但是,这些保护通常会被漏洞关闭,配置错误或受其阻碍。
目前,研究人员已经看到Trickbot使用其新获得的UEFI编写功能来测试保护措施是否到位。前提是恶意软件操作员正在编译容易受到此类攻击的计算机列表。然后,操作员可以出售对这些机器的访问权限。推动勒索软件的客户可以使用该列表覆盖UEFI,以使大量计算机无法启动。从事间谍活动的Trickbot客户可以使用该列表在高价值网络中的PC上植入难以检测的后门。
Trickbot对UEFI编写代码的拥护可能会使这类攻击成为主流。可以将受UEFI攻击的计算机租用给现在使用Trickbot进行其他类型的恶意软件攻击的低等级别的犯罪分子,而不是通常由国家资助的高级持续威胁组。
AdvIntel和Eclypsium研究人员写道:“这里的区别在于TrickBot的模块化自动化方法,强大的基础架构和快速的大规模部署功能使这一趋势达到了新的水平。” “现在,所有针对大规模破坏性或间谍活动的活动都准备就绪,可以针对整个垂直行业或关键基础设施的一部分。”