Glupteba botnet

AUTOR ·

Sigurnosni istraživači su utvrdili da Glupteba botnet koristi prethodno nedokumentovanu Unified Extensible Firmware Interface (UEFI) bootkit funkciju koja mu dodaje još jedan sloj sofisticiranosti i skrivenosti.

Glupteba

Glupteba botnet; Source: Bing Image Creator

GLUPTEBA

Glupteba zlonamjerni softver je prije bio poznat po kriptootimcama (eng. cryptojacking), krađi ličnih podataka korisnika, omogućavanju backdoor pristupa i primjene proxy komponenti na inficiranom uređaju. A poznat je i po korištenju Bitcoin blockchain sistema kao rezervnog sistema komande i kontrole (C2), što otežava njegovo uklanjanje.

Pored toga, Glupteba zlonamjerni softver može da isporučuje korisni teret (eng. payload), preuzima korisničke akreditive, podatke o kreditnim karticama, vrši prevaru sa oglasima ili da preuzme akreditive za rutere za dobijanje udaljenog administrativnog pristupa. Tokom protekle decenije, ovaj modularni zlonamjerni softver se usavršavao, postajući sofisticirana prijetnja koja koristi složene višestepene lance zaraze kako bi zaobišla detekciju sigurnosnih rješenja.

 

“Zlonamjerni akteri često distribuiraju Glupteba-u kao dio složenog lanca infekcije koji istovremeno širi nekoliko porodica zlonamjernog softvera. Ovaj lanac infekcije često počinje sa PrivateLoader ili SmokeLoader infekcijom koja učitava druge porodice zlonamjernog softvera, a zatim učitava Glupteba-u.”

 – Lior Rochberger and Dan Yashnik, Palo Alto Networks Unit 42 –

 

DISTRIBUCIJA

Distribucija Glupteba zlonamjernog softvera je bila poremećena u decembru 2021. godine od strane kompanije Google, da bi ponovo počela u decembru 2022. godine. Zlonamjerni softver je nastavio svoje aktivnosti i tokom 2023. godine u široko rasprostranjenoj kampanji koja pogađa više regiona i industrija. Slično drugim kampanjama, zlonamjerni akteri šire Glupteba putem distribucije zasnovane na vebu i velikih phishing napada koristeći instalacione pakete datoteka i piratski softver.

Kampanja se sastoji iz nekoliko faza, a prva faza napada mami korisnike da preuzmu zlonamjerne ZIP datoteke lažnih instalacionih datoteka koje se lažno predstavljaju kao neki drugi softver. Kada korisnik preuzme ZIP datoteku i pokuša da instalira softver, počinje lanac infekcije. Zlonamjerni akteri često vrše distribuciju Glupteba zlonamjernog softvera kao dio složenog lanca infekcije koji istovremeno širi nekoliko porodica zlonamjernog softvera, gdje se na kraju učitava Glupteba zlonamjerni softver.

 

UEFI BOOTKIT FUNKCIONISANJE

U fazi prije izbora uređaja za pokretanje, upravljački softver se učitava iz memorije serijskog perifernog interfejsa (eng. Serial Peripheral Interface – SPI). Zatim EFI sistemska particija (ESP), koja se nalazi uređaju za pokretanje sistema i koja sadrži Windows Boot Manager učitava, dok uređaj učitava Windows operativni sistem. Implant zlonamjernog softvera je dovoljan da u EFI sistemskoj particiji izvrši kôd prije nego što se Windows operativni sistem pokrene, gdje može lako da poremeti različite bezbjednosne mehanizme.

Druga mogućnost je ubacivanje u SPI memoriju koja izvršava kôd u ranijim fazama procesa pokretanja, omogućavajući još veću snagu i fleksibilnost. Međutim, primjena zlonamjernog softvera koji koristi implant upravljačkog softvera u fleš memoriji zahteva veće privilegije nego korištenje ESP implantata, pa je ovo složenija opcija.

 

NOVA FUNKCIONALNOST

Sada je primijećeno kako Glupteba zlonamjerni softver zloupotrebljava proces pokretanja UEFI funkcije. Ovo predstavlja kontinuirani pomak ka prikrivenijim i upornijim vektorima napada, jer se UEFI upravljački softver (eng. firmware) koristi za pokretanje sekvence podizanja sistema prije nego što se operativni sistem učita, što otkrivanje i otklanjanje zlonamjernog softvera čini posebno izazovnim.

 

“Ovaj bootkit može da interveniše i kontroliše proces pokretanja [operativnog sistema], omogućavajući Glupteba-i da se sakrije i stvori skrivenu postojanost koju može biti izuzetno teško otkriti i ukloniti.”

 – Lior Rochberger and Dan Yashnik, Palo Alto Networks Unit 42 –

 

Glupteba zlonamjerni softver koristi UEFI bootkit funkciju koja uključuje modifikovanu verziju projekta otvorenog kôda pod nazivom EfiGuard, koji može da onemogući PatchGuard i provjeru potpisa upravljačkog softvera (eng. Driver Signature Enforcement – DSE) pri pokretanju. Onemogućavanjem ovih funkcija Glupteba zlonamjerni softver može da instalira poznati ranjivi upravljački softver, a zatim da iskoristi taj drajver kako bi se efikasno sakrio na sistemu. Ovaj poseban metod infekcije zamjenjuje softver na EFI particiji, tako da će potpuno brisanje čvrstog diska ukloniti zlonamjerni softver.

 

ZAKLJUČAK

Otkrivanje nedokumentovane tehnike UEFI zaobilaženja samo naglašava sposobnost Glupteba zlonamjernog softvera ka inovacijama i izbjegavanju detekcije. Ova nova metoda ne samo da predstavlja značajan izazov za otkrivanje, već i naglašava hitnu potrebu da stručnjaci u sajber bezbjednosti stalno poboljšavaju svoju odbranu i budu ispred novih prijetnji.

Saradnja između sigurnosnih istraživača, profesionalaca u oblasti bezbjednosti i proizvođača mora biti najveći prioritet kako bi se ublažili rizici vezani za ovakve sofisticirane zlonamjerne prijetnje i kao mehanizam zaštite od budućih ranjivosti.

Za sad, u kibernetičkom okruženju koje se stalno razvija, Glupteba zlonamjerni softver se ističe kao primjetan primjer složenosti i prilagodljivosti koje pokazuju savremeni zlonamjerni akteri.

 

ZAŠTITA

Borba protiv prijetnje koju predstavlja Glupteba zlonamjerni softver zloupotrebljavajući proces pokretanja UEFI funkcije zahtjeva višestrani pristup. Neke od preporuka koje se mogu primijeniti u ovom slučaju su:

  • Korištenje sigurnosne platforme koja može da prati promjene na  upravljačkom softveru i izvrši detekciju zlonamjernog softvera,
  • Primjena mjera poboljšanja bezbjednosti UEFI upravljačkog softvera kao što je upotreba Secure Boot funkcionalnosti, zaštita upravljačkog softvera lozinkom i redovno ažuriranje,
  • Saradnja sa proizvođačima uređaja i UEFI upravljačkih softvera kako bi na vrijeme bili upoznati o potencijalnim ranjivostima i razvoju bezbjednijih implementacija upravljačkog softvera,
  • Edukacija sigurnosnih timova i krajnjih korisnika o rizicima povezanim sa phishing napadima i rizicima povezanim sa zlonamjernim softverom na nivou upravljačkog softvera, uz naglašavanje važnosti funkcija kao što je Secure Boot za sprečavanje ove vrste prijetnji.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.