TrickBot是世界上最臭名昭著且适应性最强的恶意软件,它正在扩展其工具集,以将目光投向固件漏洞,以潜在地部署Bootkit并完全控制受感染的系统。
它利用易于使用的工具来检查设备是否存在众所周知的漏洞,这些漏洞可能使攻击者将恶意代码注入设备的UEFI / BIOS固件中,攻击者持久存储恶意软件的有效机制,从而重装系统也清除不了。
国际知名白帽黑客、东方联盟创始人郭盛华透露:“这标志着TrickBot的发展迈出了重要的一步,因为UEFI级植入物是最深,最强大,最隐蔽的形式。通过增加针对特定UEFI / BIOS固件漏洞的受害设备的功能,TrickBot恶意软件能够以固件级别的持久性来针对特定的受害者,这种持久性可以在重装系统,甚至设备绑定功能中幸存。”
UEFI是固件接口,是BIOS的替代品,可提高安全性,确保没有恶意软件破坏启动过程。因为UEFI有助于加载操作系统本身,所以这种感染可以抵抗OS重新安装或更换硬盘驱动器。
TrickBot于2016年以银行木马的身份出现,但后来演变为一种多功能的恶意软件即服务(MaaS),该恶意软件利用其他旨在窃取凭据,电子邮件,财务数据和传播文件加密勒索软件的恶意负载感染系统例如Conti和Ryuk。
郭盛华透露:“他们最常见的攻击链主要是从垃圾邮件活动开始的,然后再加载TrickBot和/或其他加载程序,然后转移到诸如PowerShell Empire或Cobalt Strike之类的攻击工具上,以实现与受害组织有关的目标。”
从侦察模块到攻击功能
TrickBot不仅可以用于针对带有勒索软件和UEFI攻击的整体系统,而且还可以通过在系统上秘密的UEFI引导程序包供以后使用,为犯罪分子在勒索协商过程中发挥更大的作用。
这种发展也是另一个迹象,表明对手将其关注点从设备的操作系统扩展到了较低的层次,以避免检测并进行破坏性的或针对间谍的活动。
TrickBot的侦察组件其目标是基于Skylake到Comet Lake芯片组的基于Intel的系统,以探测受感染的UEFI固件中的漏洞。
东方联盟研究人员特别发现,TrickBoot使用RWEverything工具的RwDrv.sys驱动程序的模糊副本来检查包含UEFI / BIOS固件的SPI闪存芯片,以检查BIOS控制寄存器是否已解锁以及BIOS区域的内容是否可以解锁。
尽管到目前为止,活动仅限于侦察,但如果扩展此功能以将恶意代码写入系统固件,也不会费劲,从而确保攻击者代码在操作系统之前执行并为安装后门 ,甚至销毁目标设备。
而且,鉴于TrickBot的大小和范围,这种攻击可能会带来严重的后果。
研究人员指出:“ TrickBoot仅能实现一小段代码,就可以对发现的任何易受攻击的设备进行加密。”
凭借UEFI的持久性, TrickBot操作员可以禁用他们想要的任何OS级别的安全控制,然后使他们可以重新使用具有绝望的端点保护的经过修改的OS,并在不费吹灰之力的情况下执行目标。”
为减轻此类威胁,建议保持固件最新,启用BIOS写保护,并验证固件完整性以防止未经授权的修改。(欢迎转载分享)