Эксперты Positive Technologies проанализировали все известные 39 семейств буткитов, как существующих в формате Proof of Concept1 (доказывающем возможность осуществления идеи или метода), так и использующихся в реальных атаках злоумышленников с 2005 по 2021 год. Исследование показало , что каждый второй буткит применяется в целевых атаках, при этом, несмотря на высокую стоимость разработки этих зловредов, злоумышленники стали использовать их в массовых атаках.
Буткит — вредоносный код, который запускается до загрузки операционной системы (ОС). Его основная задача — помочь другому вредоносному программному обеспечению (ПО) закрепиться в системе до ее запуска. Поскольку большинство систем защиты, например антивирусных программ, запускается одновременно с ОС, вероятность обнаружения буткита уменьшается. Еще недавно была распространена точка зрения, что буткиты, внедряемые на стадии запуска низкоуровневого ПО BIOS или UEFI, практически не встречаются в реальных атаках, однако это миф. Из 39 проанализированных семейств буткитов как минимум 70%, 27 семейств, использовались в кибератаках, причем половина из них, 14, — APT-группировками, например Careto , Winnti (APT41), FIN1 и APT28 .
По данным Positive Technologies, росту популярности буткитов среди злоумышленников способствует регулярное обнаружение уязвимостей в прошивках. Например, для UEFI только в 2021 году в национальной базе уязвимостей ( NDV ) появилось 18 записей. Для сравнения: в 2020 году их было 12, на 30% меньше, а в 2019 — всего 5 записей. Сейчас функции буткитов добавляются к разным вредоносным программам: так поступают разработчики шифровальщиков, например Satana и Petya , и ботнетов, к примеру Trickbot .
«Среди проанализированных нами буткитов 76% были разработаны под устаревший и небезопасный BIOS, —отмечает аналитик исследовательской группы Positive Technologies Яна Юракова. — Intel еще в 2020 годуостановила поддержку BIOS, но некоторые компании не могут быстро обновить ИТ-инфраструктуру либо используют гипервизоры, в которых по умолчанию рекомендовано использовать BIOS. Из-за этого буткиты для заражения BIOS до сих пор не теряют своей актуальности. По нашей оценке, в России с такой проблемой чаще сталкиваются госучреждения и промышленность».
По данным исследования, начиная с 2020 года все буткиты, встречающиеся в реальных атаках, были ориентированы на UEFI, например Mosaic Regressor, Trickboot, FinSpy , ESPEcter, MoonBounce . Несмотря на большую защищенность UEFI и добавленный протокол безопасной загрузки (Secure Boot), существует несколько возможных вариантов заражения прошивки UEFI: от атак на цепочки поставок2— до удаленного внедрения с помощью повышения привилегий для установки полезной нагрузки на уровне ядра ОС.
Эксперты Positive Technologies отмечают сложность разработки буткитов, что отражается на их стоимости на теневом рынке. Средняя стоимость аренды буткита составляет 4900 долл. США. Для сравнения: взять в аренду руткит3злоумышленник может за 100–200 долл. США. Исследователи Positive Technologies проанализировали 58 каналов в Telegram и десять наиболее популярных русскоязычных и англоязычных форумов в дарквебе, где представлены предложения о продаже и запросы о покупке буткитов, а также объявления о поиске разработчиков вредоносов. За 10 000 долл. США киберпреступник может приобрести исходный код для буткита, а за 2000 — получить образ для запуска. За разработку буткита злоумышленники готовы платить до 5 000 долл. США. Максимальная цена, которую готовы заплатить за буткит для прошивки UEFI, составляет 2 млн долл. США.
Несмотря на высокую стоимость, киберпреступники используют буткиты не только в целевых (например, во время шпионажа за дипломатами из Африки, Азии и Европы с помощью Mosaic Regressor ), но и в массовых атаках. Так, буткит Rovnix распространяли в рамках фишинговой кампании , использующей в качестве повестки информацию о новой инициативе Всемирного банка в связи с эпидемией коронавируса. Буткит Adushka был нацелен на обычных пользователей и применялся в том числе для кражи данных из личных аккаунтов в онлайн-играх. Еще один буткит, который был использован в массовых атаках, — Oldboot . Он ориентирован на устройства на платформе Android. Злоумышленники инфицировали более 350 000 мобильных устройств. Буткит создавал условия для внедрения загрузчика и шпионского ПО, которое помогало собирать и удалять SMS-сообщения.
Для доставки буткитов в инфраструктуру организаций злоумышленники используют в основном целенаправленный фишинг через электронную почту. Так, например, распространяются буткиты Mebromi и Mosaic Regressor . Еще одним вектором доставки становятся сайты , в том числе техника Drive-by Compromise — с помощью этой техники происходило заражение вредоносами Pitou и Mebroot, причем киберпреступники, распространяющие Mebroot , взломали более 1500 веб-ресурсов для размещения вредоносного кода. Буткит FispBoot попадал на устройство после заражения трояном Trojan-Downloader.NSIS.Agent.jd, который жертва загружала под видом видеоролика.
«Самый действенный способ обнаружить буткит, в том числе разработанный под такую сложную подсистему, какUEFI, — сделать это при помощи решенийкласса Sandboxдо его внедрения в прошивку или первые разделы жесткого диска,—комментирует Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности компании Positive Technologies (PT Expert Security Center).—Например, песочницаPT Sandboxпозволяет детектировать как буткиты старого образца, так и современные, с учетом известных на настоящий момент векторов атак злоумышленников. Детектирование буткита в песочнице предполагаетвозможность зафиксировать заражение на стадии обыкновенного анализа и получить более детальное поведение вредоноса — инфицирование в результате перезагрузки ОС после включения компьютера. Особенность кастомизированного PT Sandbox состоит в том, что оператор может выбрать режим анализа с перезагрузкой системы. После перезапуска он продолжает наблюдать за стадией перезагрузки. И на этой стадии, если произошло инфицирование, оператор сможет получить информацию о том, как именно действует буткит. Это позволяет нивелировать шанс пропуска буткита, если он выполнит заражение незаметно для нас на начальной стадии работы».
В качестве превентивных мер эксперты рекомендуют также отслеживать потенциально опасные операции в системе (получение прямого доступа к жесткому диску, установка драйвера, чтение прошивки), включить режим Secure Boot для UEFI, не производить загрузку ОС с использованием недоверенных носителей, при обновлении версии ОС и прошивки проверять, не появлялась ли информация о компрометации вендоров. Чтобы избежать заражения смартфона на базе Android такими буткитами, как Oldboot , рекомендуется не приобретать устройства в недоверенных магазинах и не загружать прошивки, полученные из ненадежных источников.
С полной версией исследования можно ознакомиться насайте Positive Technologies.
1PoC (Proof of Concept) буткитов представляют особый интерес для аналитиков и исследователей, так как, изучив их функции, можно прогнозировать, какие техники и методы будут использоваться злоумышленниками и на что нужно обратить внимание, чтобы обеспечить превентивную защиту.
2Атака на цепочки поставок (supply chain attack) — вид кибератаки, который заключается во внедрении вредоносного кода в процесс разработки программного обеспечения, как правило, с помощью стороннего программного обеспечения.
3Руткит — программа (набор программ), позволяющая скрыть присутствие вредоносного ПО в системе.
