Language
Bootkits: evolução e métodos de detecção
LarLar > blog > Bootkits: evolução e métodos de detecção
ÚLTIMAS NOTÍCIAS

Bootkits: evolução e métodos de detecção

Jun 17, 2023

Os cibercriminosos estão constantemente em busca de novas maneiras de obter uma posição de longo prazo no sistema alvo com privilégios máximos, evitando ao mesmo tempo a detecção, por exemplo, por ferramentas antivírus. A maioria das ferramentas de proteção são iniciadas junto com o sistema operacional, portanto, se o malware for carregado antes do sistema operacional, a probabilidade de detecção diminui. Outro objetivo dos desenvolvedores de malware é manter o controle e os privilégios após a reinstalação do sistema operacional. Isso exige que o malware seja carregado em software de baixo nível – o firmware do dispositivo ou os primeiros setores do disco rígido. Foi assim que surgiram os bootkits.

Um bootkit é um código malicioso executado antes da inicialização do sistema operacional. O principal objetivo de um bootkit é ganhar uma posição no sistema e proteger outros malwares da detecção por ferramentas de segurança.

Real ou conceitual?

Anteriormente, pensava-se que os bootkits existiam principalmente na prova de conceito. Uma prova de conceito (PoC) é uma demonstração da capacidade de exploração de uma vulnerabilidade. forma, e não usado em ataques reais. No entanto, apenas dois anos separaram o aparecimento do primeiro PoC e o primeiro ataque de bootkit.

Os Bootkit PoCs são de particular interesse para analistas e pesquisadores porque fornecem uma visão sobre quais métodos e técnicas os invasores provavelmente usarão e o que procurar para fornecer proteção preventiva.

Os desenvolvedores de malware agora estão adicionando funcionalidade de bootkit às suas criações, incluindo Satana, Petya e vários botnets, como o TrickBot. Os grupos APT também são usuários ativos de bootkits, por exemplo, Careto, Winnti (APT41), FIN1 e APT28.

Ao preparar este relatório, analisamos 39 famílias de bootkits, tanto em formato PoC quanto aquelas encontradas em ataques reais de 2005 a 2021.

Os cibercriminosos geralmente usam phishing direcionado via e-mail para injetar malware na infraestrutura; é assim que, por exemplo, os bootkits Mebromi e Mosaic Regressor são distribuídos. Outra rota de entrega é através de sites, incluindo a técnica de comprometimento drive-by, que foi usada para infectar alvos com o malware Pitou e Mebroot; os cibercriminosos que distribuíam este último invadiram mais de 1.500 recursos da web e colocaram o malware lá. O bootkit FispBoot chegou aos dispositivos que foram infectados pela primeira vez com o trojan Trojan-Downloader.NSIS.Agent.jd, que as vítimas baixaram sob o disfarce de um videoclipe.

A diferença entre um bootkit e um rootkit

Bootkits são frequentemente confundidos com rootkits Um rootkit é um programa (conjunto de programas) para ocultar a presença de malware no sistema. . A principal diferença é que os bootkits começam a funcionar antes mesmo de o sistema operacional inicializar. Eles têm o mesmo nível de controle que carregadores legítimos (Master Boot Record (MBR), Volume Boot Record (VBR) ou UEFI) e interferem no processo de inicialização do sistema operacional, permitindo-lhes monitorar e alterar o processo de inicialização, bem como introduzir , por exemplo, código malicioso, contornando mecanismos de segurança. Os bootkits geralmente criam o ambiente para a introdução furtiva de rootkits no nível do kernel.

O Master Boot Record (MBR) contém informações e códigos necessários para inicializar corretamente o dispositivo. Ele é armazenado nos primeiros setores do disco rígido. O Volume Boot Record (VBR) ou Initial Program Loader (IPL) carrega os dados necessários para inicializar o sistema operacional. Ele é armazenado no primeiro setor de uma partição do disco rígido.

Recursos do kit de inicialização

Na maioria das vezes, os bootkits possuem os seguintes recursos:

Alguns bootkits permitem que invasores ignorem a autenticação; os PoCs dos bootkits Vbootkit x64 e DreamBoot, por exemplo, possuem esse recurso.

Bootkits como ferramentas para ataques altamente direcionados

Desenvolver seu próprio bootkit não é uma tarefa trivial para um invasor, mas na vida real os bootkits são bastante comuns. Por exemplo, os atacantes que espionam diplomatas e membros de organizações não governamentais de África, Ásia e Europa usaram o bootkit Mosaic Regressor para ganhar uma posição nos sistemas alvo. Depois de analisar um ataque usando outro bootkit de última geração, o MoonBounce, os pesquisadores ficaram surpresos com o profundo conhecimento dos invasores sobre a infraestrutura de TI da vítima. Eles viram que os invasores estudaram minuciosamente o firmware do dispositivo, o que sugere que este foi um ataque altamente direcionado.