La nueva táctica de TrickBot amenaza el firmware



Un módulo recién descubierto comprueba las máquinas en busca de fallas en el firmware UEFI / BIOS para que el malware pueda evadir la detección y persistir en un dispositivo.

El malware TrickBot tiene un truco nuevo y peligroso: un módulo identificado recientemente inspecciona los dispositivos de destino en busca de vulnerabilidades de firmware que permitan a los atacantes leer, escribir o borrar el firmware UEFI / BIOS. Con este nivel de acceso, se podría instalar una puerta trasera o «bloquear» una máquina infectada.

El malware se identificó por primera vez en 2016 e inicialmente se consideró un troyano bancario, utilizado para robar datos financieros. Desde entonces, ha evolucionado hasta convertirse en una operación completa y aparece en diferentes tipos de campañas de malware. Se ha visto a TrickBot trabajando con Emotet para entregar el ransomware Ryuk utiliza el exploit EternalBlue para propagarse a través de hosts en una crimson objetivo a través del bloque de mensajes del servidor.

A principios de este año, US Cyber ​​Command y un grupo de la industria privada liderado por Microsoft intentaron derribar a TrickBot semanas después, los investigadores notaron que se distribuía una nueva versión a través de spam.

Ahora, está intentando infiltrarse en el nivel más bajo de dispositivos objetivo mediante la verificación de fallas de firmware, informan los investigadores de Eclypsium and Superior Intelligence (AdvIntel). Un módulo que encontraron en octubre de 2020 «marca un paso significativo en la evolución de TrickBot», una amenaza que ha incorporado constantemente nuevas capacidades para volverse más sigilosa y maliciosa con el tiempo.

En este módulo, TrickBot united states un controlador de la herramienta RWEverything para interactuar con el controlador SPI y verificar si el registro de regulate del BIOS está desbloqueado y el contenido de la región del BIOS se puede cambiar. RWEverything (leer y escribir todo), dicen los investigadores, podría permitir que un atacante escriba en el firmware en «prácticamente cualquier componente del dispositivo», incluido el controlador SPI que controla el firmware del sistema. Esto permitiría al atacante escribir código en el firmware del sistema, asegurando que el código malicioso se ejecute antes que el sistema operativo durante el proceso de arranque.

El enfoque en UEFI en este módulo llamado «TrickBoot» indica que sus operadores están pensando más allá del sistema operativo para apuntar a las capas de dispositivos inferiores que las herramientas de seguridad a menudo pasan por alto. Debido a que el firmware se almacena en la placa base y no en las unidades del sistema, las amenazas centradas en UEFI permiten a los atacantes permanecer persistentes después de que se vuelva a crear una imagen del sistema o se reemplace un disco duro infectado.

«Una vez que haya hecho eso, habrá escapado al resto de la capacidad de detección de toda la pila de seguridad», dice Scott Scheferman, principal estratega cibernético de Eclypsium. «Y ha ganado persistencia al hacer eso también, que no puede erradicar o incluso detectar en la mayoría de las organizaciones».

En una reseña, los investigadores discuten qué podría hacer un atacante con este nivel de acceso. Los operadores de TrickBot podrían bloquear cualquier dispositivo que consideren vulnerable. La persistencia de UEFI podría permitirles deshabilitar la mayoría de los controles de seguridad a nivel del sistema operativo, permitiéndoles resurgir sin seguridad de punto closing. Podrían aterrizar en miles de hosts por día y descubrir cuáles son vulnerables a los ataques UEFI.

Hay varias razones por las que TrickBot se está moviendo en esta dirección, creen los investigadores. El malware se ha convertido en un área clave de enfoque entre los defensores y los investigadores de seguridad, señala Vitali Kremez, CEO y presidente de AdvIntel. Dada esta ubicuidad, es necesario que sus operadores innoven para poder adelantarse a los antivirus corporativos y los productos de seguridad de terminales.

“Vemos madurez y profesionalización del espacio, donde los grupos criminales son profesionales como nosotros… Ellos manejan su negocio como empresa”, explica Kremez. «No es la codificación de la herramienta, el nivel de atención, el proceso de pensamiento detrás de un crimen lo que lo hace más interesante. Es el nivel de intención felony, es elevado, por así decirlo».

Las capacidades vistas en TrickBoot han sido demostradas por otros atacantes que buscan persistencia en el firmware, señalan los investigadores. Lo peligroso de este descubrimiento es la propagación de TrickBot: en los últimos dos meses de infecciones, TrickBot ha alcanzado un máximo de 40.000 en un día. Además, los atacantes no necesitan acceso a dispositivos ni una técnica compleja para que funcione.

«Esto no es una cosa esotérica, de estado-nación, a nivel de espía», dice Scheferman. «Este es un malware prison masivo y de gran escala que tiene todo lo que necesita en herramientas para saber qué vulnerabilidad atacar y atacarla».

¿Qué sucede si TrickBoot funciona?
Recuperarse de un ataque como este es más complicado y costoso en comparación con los ataques de malware tradicionales, informan los investigadores. El firmware UEFI dañado requiere reemplazar o actualizar la placa base, lo que requiere más mano de obra que reemplazar el disco duro.

«Muchas veces, TI tendrá repuestos en caliente para unidades y memoria, y es más común que algunos de estos componentes reemplazables fallen», dice Jesse Michael, investigador principal de Eclypsium. «Pero reemplazar el servidor, la placa foundation o una computadora portátil completa es un problema mucho más complicado». TI puede tener un libro de jugadas para reemplazar un servidor que no arranca es menos probable que estén preparados para reemplazar varios servidores al mismo tiempo.

El potencial de este tipo de ataque es especialmente preocupante para los entornos operativos, donde el tiempo de actividad es la máxima prioridad, agrega Scheferman. Un ataque de TrickBoot no se pudo remediar con sus manuales de respuesta a incidentes existentes y causó un «tiempo de inactividad devastador», agrega.

Si bien sus capacidades tienen el potencial de ser «un desarrollo significativo», los defensores deben tener cuidado al intentar determinar la intención del atacante sin más evidencia, dice Sherrod DeGrippo, director senior de investigación y detección de amenazas en Proofpoint.

«La capacidad del actor de amenazas no siempre se traduce en acciones del mundo genuine, pero los defensores de la pink deben evaluar sus capacidades para detectar modificaciones de UEFI y cuáles son las implicaciones de tales ataques en la respuesta y recuperación ante incidentes», explica.

Hay pasos que las empresas pueden tomar para prepararse antes de que ocurra un incidente. Scheferman aconseja comprender primero qué partes de un entorno son vulnerables a este tipo de ataque. Gane visibilidad Conozca qué dispositivos a nivel de firmware pueden ser lo que busca este módulo.

«Una cosa a tener en cuenta es que muchas empresas no tienen visibilidad del firmware», dice Michael. «Asegurarse de que las actualizaciones de firmware también formen parte de su proceso de gestión y del proceso de TI, asegurarse de que el componente también esté actualizado, es un punto clave de su proceso empresarial que deben conocer».

Si bien muchos administradores dan prioridad a los parches enviados a través de Windows Update o Linux, los parches de firmware pueden quedar en el camino cuando un proveedor los comparte. Estos también son generalmente más difíciles de aplicar a los sistemas, agrega, agregando otro desafío para las empresas que aprenden que los necesitan.

Kelly Sheridan es la editora de individual de Dim Reading, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial