Mostra tutti

LoJax, il primo rootkit UEFI che infetta il computer

LoJax, il primo rootkit UEFI attribuito al gruppo hacker Sednit che infetta il computer

I rootkit EFI sono ampiamente considerati strumenti estremamente pericolosi per l’implementazione di cyberattacks, in quanto sono difficili da individuare e in grado di sopravvivere a misure di sicurezza come la reinstallazione del sistema operativo e persino la sostituzione di un disco rigido. Alcuni rootkit UEFI sono noti per essere a disposizione di (almeno alcuni) enti governativi. Tuttavia, nessun rootkit UEFI è mai stato rilevato in natura – fino a quando non è stata scoperta una campagna del gruppo Sednit APT che ha implementato con successo un modulo UEFI dannoso sul sistema di una vittima.

I ricercatori di ESET, in occasione del Microsoft BlueHat 2018 hanno presentato i risultati di una ricerca che illustra le caratteristiche di LoJax, un rootkit in grado di installarsi su computer che usano EUFI, l’interfaccia firmware predefinita per PC che ha sostituito l’ambiente BIOS. In questo modo l’infezione resiste sia alla formattazione del disco, sia alla sua sostituzione.

Il codice malevolo è stato attribuito al gruppo hacker Sednit, definito anche con altri alias come APT28, Sofacy, Stronzium e Fancy Bear. Il gruppo criminale è già conosciuto per attacchi al governo tedesco e per aver progettato la botnet VPNFilter.

Cosa è il rootkit loJax

LoJax deriva in realtà da LoJack di Absolute Software, un  programma pensato per rintracciare il portatile in caso di furto.

Attualmente si trova preinstallato nel firmware di un gran numero di laptop di vari produttori. Essendo un antifurto, il software veniva implementato come un modulo UEFI / BIOS, in modo da sopravvivere alla reinstallazione del sistema operativo o alla sostituzione del disco rigido.

Il gruppo APT-28 ha quindi pensato di sfruttare la caratteristica di persistenza di LoJack per trasformarlo nel 2016 in un trojan e in un rootkit nel 2018 (LoJax).
Sui sistemi attaccati da LoJax, sono stati trovati tre diversi tools in grado di accedere e modificare le impostazioni di  UEFI / BIOS, sfruttando un driver del kernel (RwDrv.sys), fornito con uno strumento gratuito chiamato RWEverything.

Il primo di questi tools scarica informazioni sulle impostazioni di sistema in un file di testo, utilizzato per bypassare le protezioni che impediscono l’aggiornamento del firmware.  Il secondo strumento salva in un file l’immagine del firmware contenuta nella memoria flash SPI del UEFI / BIOS. Il terzo strumento aggiunge all’immagine del firmware un modulo UEFI contenente il rootkit e scrive tale immagine modificata nella memoria flash SPI. L’attacco ha successo solo se la macchina è configurata in modo errato o se non sono state abilitate le protezioni in scrittura della memoria flash SPI.

La figura seguente mostra il “decision tree” del processo di scrittura: se la piattaforma consente le operazioni di scrittura (BIOS Write Enable = 1) sulla memoria flash SPI, l’attacco procederà direttamente con la scrittura dell’immagine contenente il codice malevolo, altrimenti verrà sfruttata la vulnerabilità nota.

L’attacco termina con l’iniezione del malware sulla partizione del sistema operativo Microsoft Windows e l’esecuzione dello stesso ad ogni avvio. 

La diffusione del rootkit Lojax

Le indagini di ESET dimostrerebbero che Fancy Bear avrebbe usato Lojax per colpire alcuni obiettivi nei Balcani e in centro Europa.  Le conseguenze per la maggior parte di cittadini e imprese sono minime, in quanto sembra che gli hacker di Fancy Bear utilizzino Lojax solo per gli attacchi diretti a destinatari ben precisi come grandi aziende ed enti governativi, ma non è escluso che tali attacchi possano interessare altri e più estesi ambiti.

LoJax, rootkit, UEFI, Sednit,

I collegamenti con il gruppo Sednit APT

Come accennato in precedenza, alcuni dei server C&C LoJax sono stati utilizzati in passato da SedUploader, una backdoor di primo livello utilizzata abitualmente dagli operatori Sednit. In effetti, i sistemi mirati da LoJax di solito mostravano anche i segni di questi tre esempi di malware Sednit:

  • SedUploader, una backdoor di primo livello
  • XAgent, la porta sul retro dell’ammiraglia Sednit
  • Xtunnel, uno strumento proxy di rete in grado di trasmettere qualsiasi tipo di traffico di rete tra un server C&C su Internet e un computer endpoint all’interno di una rete locale.

Come difendersi da Lojax

Per mettersi al sicuro da LoJax si consiglia di seguire i seguenti accorgimenti:

  1. aggiornare tutti gli UEFI all’ultima versione, in quanto le vulnerabilità sfruttate finora sono presenti solo in vecchie versioni;
  2. abilitare il SecureBoot, il sistema che permette di scrivere nell’UEFI solo se si ha un certificato di identità digitale autorizzato.

Indicatori di compromissione /malware-ioc

ReWriter_read.exe

ESET detection name

  • Win32/SPIFlash.A

SHA-1

  • ea728abe26bac161e110970051e1561fd51db93b

ReWriter_binary.exe

ESET detection name

  • Win32/SPIFlash.A

SHA-1

  • cc217342373967d1916cb20eca5ccb29caaf7c1b

SecDxe

ESET detection name

  • EFI/LoJax.A

SHA-1

  • f2be778971ad9df2082a266bd04ab657bd287413

info_efi.exe

ESET detection name

  • Win32/Agent.ZXZ

SHA-1

  • 4b9e71615b37aea1eaeb5b1cfa0eee048118ff72

autoche.exe

ESET detection name

  • Win32/LoJax.A

SHA-1

    • 700d7e763f59e706b4f05c69911319690f85432e

Small agent EXE

ESET detection names

  • Win32/Agent.ZQE
  • Win32/Agent.ZTU

SHA-1

  • 1771e435ba25f9cdfa77168899490d87681f2029
  • ddaa06a4021baf980a08caea899f2904609410b9
  • 10d571d66d3ab7b9ddf6a850cb9b8e38b07623c0
  • 2529f6eda28d54490119d2123d22da56783c704f
  • e923ac79046ffa06f67d3f4c567e84a82dd7ff1b
  • 8e138eecea8e9937a83bffe100d842d6381b6bb1
  • ef860dca7d7c928b68c4218007fb9069c6e654e9
  • e8f07caafb23eff83020406c21645d8ed0005ca6
  • 09d2e2c26247a4a908952fee36b56b360561984f
  • f90ccf57e75923812c2c1da9f56166b36d1482be

C&C server domain names

  • secao.org
  • ikmtrust.com
  • sysanalyticweb.com
  • lxwo.org
  • jflynci.com
  • remotepx.net
  • rdsnets.com
  • rpcnetconnect.com
  • webstp.com
  • elaxo.org

C&C server IP addresses

  • 185.77.129.106
  • 185.144.82.239
  • 93.113.131.103
  • 185.86.149.54
  • 185.86.151.104
  • 103.41.177.43
  • 185.86.148.184
  • 185.94.191.65
  • 86.106.131.54

Small agent DLL

In this section, we list only the DLL for which we never obtained the corresponding EXE

ESET detection name

  • Win32/Agent.ZQE

SHA-1

  • 397d97e278110a48bd2cb11bb5632b99a9100dbd

C&C server domain names

  • elaxo.org

C&C server IP addresses

  • 86.106.131.54

Credits: Welivesecurity – Cert-Pa

libro vita da hacker