TrickBot是世界上最臭名昭著且適應性最強的惡意軟件,它正在擴展其工具集,以將目光投向固件漏洞,以潛在地部署Bootkit並完全控制受感染的系統。
它利用易於使用的工具來檢查設備是否存在衆所周知的漏洞,這些漏洞可能使攻擊者將惡意代碼注入設備的UEFI / BIOS固件中,攻擊者持久存儲惡意軟件的有效機制,從而重裝系統也清除不了。
國際知名白帽黑客、東方聯盟創始人郭盛華透露:“這標誌着TrickBot的發展邁出了重要的一步,因爲UEFI級植入物是最深,最強大,最隱蔽的形式。通過增加針對特定UEFI / BIOS固件漏洞的受害設備的功能,TrickBot惡意軟件能夠以固件級別的持久性來針對特定的受害者,這種持久性可以在重裝系統,甚至設備綁定功能中倖存。”
UEFI是固件接口,是BIOS的替代品,可提高安全性,確保沒有惡意軟件破壞啓動過程。因爲UEFI有助於加載操作系統本身,所以這種感染可以抵抗OS重新安裝或更換硬盤驅動器。
TrickBot於2016年以銀行木馬的身份出現,但後來演變爲一種多功能的惡意軟件即服務(MaaS),該惡意軟件利用其他旨在竊取憑據,電子郵件,財務數據和傳播文件加密勒索軟件的惡意負載感染系統例如Conti和Ryuk。
郭盛華透露:“他們最常見的攻擊鏈主要是從垃圾郵件活動開始的,然後再加載TrickBot和/或其他加載程序,然後轉移到諸如PowerShell Empire或Cobalt Strike之類的攻擊工具上,以實現與受害組織有關的目標。”
從偵察模塊到攻擊功能
TrickBot不僅可以用於針對帶有勒索軟件和UEFI攻擊的整體系統,而且還可以通過在系統上祕密的UEFI引導程序包供以後使用,爲犯罪分子在勒索協商過程中發揮更大的作用。
這種發展也是另一個跡象,表明對手將其關注點從設備的操作系統擴展到了較低的層次,以避免檢測並進行破壞性的或針對間諜的活動。
TrickBot的偵察組件其目標是基於Skylake到Comet Lake芯片組的基於Intel的系統,以探測受感染的UEFI固件中的漏洞。
東方聯盟研究人員特別發現,TrickBoot使用RWEverything工具的RwDrv.sys驅動程序的模糊副本來檢查包含UEFI / BIOS固件的SPI閃存芯片,以檢查BIOS控制寄存器是否已解鎖以及BIOS區域的內容是否可以解鎖。
儘管到目前爲止,活動僅限於偵察,但如果擴展此功能以將惡意代碼寫入系統固件,也不會費勁,從而確保攻擊者代碼在操作系統之前執行併爲安裝後門 ,甚至銷燬目標設備。
而且,鑑於TrickBot的大小和範圍,這種攻擊可能會帶來嚴重的後果。
研究人員指出:“ TrickBoot僅能實現一小段代碼,就可以對發現的任何易受攻擊的設備進行加密。”
憑藉UEFI的持久性, TrickBot操作員可以禁用他們想要的任何OS級別的安全控制,然後使他們可以重新使用具有絕望的端點保護的經過修改的OS,並在不費吹灰之力的情況下執行目標。”
爲減輕此類威脅,建議保持固件最新,啓用BIOS寫保護,並驗證固件完整性以防止未經授權的修改。(歡迎轉載分享)