Система безопасности UEFI: как технология машинного обучения помогает обнаружить сложные угрозы

В течение последних нескольких лет одной из топовых тем в области информационных технологий остается безопасность UEFI (Unified Extensible Firmware Interface). В частности, интерес специалистов по кибербезопасности и пользователей связан с выявлением первого UEFI-руткита под названием LoJax в 2018 году.

Это вредоносное программное обеспечение получало полный контроль над компьютерами жертв, оставаясь в системе после переустановки операционной системы (ОС) или даже замены жесткого диска. Именно обнаружение этой угрозы стало толчком к созданию специалистами ESET системы для безопасности UEFI, которая позволяла бы эффективно исследовать уже известные и новые угрозы.

На основе данных телеметрии была разработана специальная технология обработки исполняемых файлов UEFI с использованием методов машинного обучения с целью выявления подозрительных действий во входных образцах. «Система самостоятельно выявляет аномальные образцы путем поиска нетипичных характеристик в исполняемых файлах UEFI», — комментируют исследователи компании ESET.

Что такое UEFI?

Это расширенный интерфейс между операционной системой и встроенным программным обеспечением (ПО) устройства, который был создан для замены устаревшего интерфейса BIOS (Basic Input/Output System). В частности, он определяет набор стандартизированных сервисов, таких как «boot services» и «runtime services» в Интерфейсе прикладного программирования (API).

Встроенное ПО хранится во флэш-памяти SPI, которая представляет собой микросхему на материнской плате системы. Таким образом, повторная установка ОС или замена жесткого диска не влияет на код встроенного программного обеспечения. В отличие от BIOS, UEFI содержит сотни различных исполняемых файлов или драйверов.

UEFI как вектор атаки

Существует несколько способов изменения встроенного программного обеспечения для заражения устройства пользователя. Самый распространенный вариант — это использование злоумышленниками модификации встроенного ПО, предназначенного для удаленной диагностики или сервисного обслуживания. Второй метод предусматривает получение злоумышленниками физического доступа к зараженному устройству.

Кроме этого, существует еще третий способ, который предусматривает атаки с использованием вредоносных программ, способных менять встроенное ПО. Примером уже выявленной угрозы является первый руткит под названием LoJax, который использовала группа киберпреступников Sednit для атаки на правительственные организации на Балканах, а также в Центральной и Восточной Европе. Этот вредоносный модуль UEFI способен загружать и выполнять опасный код на диске с помощью метода устойчивости.

Безопасность UEFI с использованием технологии машинного обучения

На сегодня вредоносный код, подобный руткиту LoJax, не распространен. В реальной среде существует множество исполняемых файлов UEFI, и лишь небольшая часть из них вредоносная. В частности, за последние два года было обнаружено более 2,5 миллиона уникальных исполняемых файлов из общего количества 6 миллиардов. В связи с невозможностью проанализировать такое большое количество файлов, специалисты ESET решили создать автоматизированную систему с целью уменьшения количества образцов, которые требуют вмешательства человека.

Созданная технология обработки была протестирована на известных подозрительных и вредоносных исполняемых файлах UEFI, в том числе и на LoJax. Система обнаружила, что руткит под названием LoJax значительно отличался от любых выявленных ранее образцов. «Проведенное тестирование подтвердило, что при появлении подобной угрозы UEFI мы сможем определить и немедленно проанализировать ее», — дополняют исследователи компании ESET.

Стоит отметить, что сканер UEFI осуществляет мониторинг UEFI в режиме реального времени. В частности, каждый новый входной исполняемый файл добавляется в массив данных, обрабатывается, индексируется и учитывается при анализе других образцов.

Отслеживая угрозы UEFI с помощью этой системы, специалисты ESET обнаружили нежелательные компоненты, которые можно разделить на две категории — бэкдор встроенного ПО и модули устойчивости на уровне ОС. В первом случае злоумышленники пытаются обойти защиту системы от несанкционированного доступа. Чаще всего параметры UEFI позволяют устанавливать пароли для защиты доступа к настройкам. Тогда как бэкдоры позволяют обходить эту защиту без использования пароля.

Примером подобной угрозы является бэкдор, обнаруженный в нескольких моделях ноутбуков ASUS. Стоит отметить, что после предупреждения специалистами ESET поставщик устройств устранил проблему и выпустил соответствующее обновление.

Также опасность могут представлять модули устойчивости на уровне операционной системы, которые отвечают за установку программного обеспечения. Из-за сложности процесса обновления встроенного ПО компьютер с уязвимым компонентом может содержать уязвимость в течение всего срока использования.

«Хотя наша система обработки еще не нашла ни одной новой вредоносной программы UEFI, предварительно полученные результаты имеют большие перспективы», — комментируют специалисты компании ESET.

Безопасность UEFI: способы выявления и удаления вредоносного компонента

Из-за роста количества сложных атак киберпреступников на систему безопасности UEFI пользователи должны обеспечить надежную защиту своих компьютеров и информации, которая сохраняется на них. Именно поэтому компания ESET стала первым ИТ-вендором, который дополнил собственные продукты функцией для обеспечения безопасности UEFI. Сканер проверяет и обеспечивает защиту среды предварительной загрузки в системах с интерфейсом UEFI. Функция обнаруживает вредоносные компоненты во встроенном программном обеспечении и сообщает об их наличии пользователю.

С точки зрения безопасности UEFI, зараженное встроенное ПО представляет большую угрозу, поскольку его очень трудно обнаружить и удалить. Также не существует простых способов очистки устройства от такого вида угрозы. Часто удалить вредоносный компонент невозможно с помощью переустановки операционной системы и даже замены жесткого диска, помочь может только полная очистка встроенного ПО. В случае невозможности такого действия единственной альтернативой является смена материнской платы зараженного устройства.