Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
ДомБуткиты: эволюция и методы обнаружения
Киберпреступники постоянно ищут новые способы надолго закрепиться в целевой системе с максимальными привилегиями, избегая при этом обнаружения, например, антивирусными средствами. Большинство средств защиты запускаются вместе с операционной системой, поэтому, если вредоносное ПО загружается раньше ОС, вероятность обнаружения снижается. Другая цель разработчиков вредоносного ПО — сохранить контроль и привилегии после переустановки ОС. Для этого необходимо загрузить вредоносное ПО в низкоуровневое программное обеспечение — прошивку устройства или первые сектора жесткого диска. Так появились буткиты.
Буткит — это вредоносный код, который запускается до загрузки ОС. Основная цель буткита — закрепиться в системе и защитить другие вредоносные программы от обнаружения средствами безопасности.
Реальный или концептуальный?
Ранее считалось, что буткиты существуют в основном для проверки концепции. Доказательство концепции (PoC) — это демонстрация возможности использования уязвимости. форме и не используется в реальных атаках. Однако появление первого PoC и первую буткит-атаку разделили всего два года.
PoC буткитов представляют особый интерес для аналитиков и исследователей, поскольку они дают представление о том, какие методы и приемы могут использовать злоумышленники и на что следует обращать внимание для обеспечения превентивной защиты.
Разработчики вредоносных программ теперь добавляют функциональность буткитов в свои творения, включая satana, Petya и различные ботнеты, такие как TrickBot. Группы APT также являются активными пользователями буткитов, например Careto, Winnti (APT41), FIN1 и APT28.
При подготовке данного отчета мы проанализировали 39 семейств буткитов, как PoC-форм, так и встречавшихся в реальных атаках с 2005 по 2021 год.
Киберпреступники обычно используют целевой фишинг по электронной почте для внедрения вредоносного ПО в инфраструктуру; так, например, распространяются буткиты Mebromi и Mosaic Regressor. Другой путь доставки — через веб-сайты, включая технику компрометации Drive-by, которая использовалась для заражения целей вредоносным ПО Pitou и Mebroot; киберпреступники, распространявшие последнее, взломали более 1500 веб-ресурсов и разместили там вредоносное ПО. Буткит FispBoot попадал на устройства, впервые зараженные трояном Trojan-Downloader.NSIS.Agent.jd, который жертвы загружали под видом видеоклипа.
Разница между буткитом и руткитом
Буткиты часто путают с руткитами. Руткит — это программа (набор программ), предназначенная для сокрытия присутствия вредоносного ПО в системе. . Основное отличие состоит в том, что буткиты начинают работать еще до загрузки ОС. Они имеют тот же уровень контроля, что и законные загрузчики (главная загрузочная запись (MBR), загрузочная запись тома (VBR) или UEFI), и вмешиваются в процесс загрузки ОС, что позволяет им отслеживать и изменять процесс загрузки, а также вводить , например, вредоносный код, обходящий механизмы безопасности. Буткиты часто создают среду для скрытного внедрения руткитов уровня ядра.
Основная загрузочная запись (MBR) содержит информацию и код, необходимые для правильной загрузки устройства. Он хранится в первых секторах жесткого диска. Загрузочная запись тома (VBR) или начальный загрузчик программ (IPL) загружает данные, необходимые для загрузки ОС. Он хранится в первом секторе раздела жесткого диска.
Возможности буткита
Чаще всего буткиты имеют следующие особенности:
Некоторые буткиты позволяют злоумышленникам обходить аутентификацию; Например, PoC буткитов Vbootkit x64 и DreamBoot имеют такую возможность.
Буткиты как инструменты для целенаправленных атак
Разработка собственного буткита — нетривиальная задача для злоумышленника, но в реальной жизни буткиты встречаются довольно часто. Например, злоумышленники, шпионящие за дипломатами и членами неправительственных организаций из Африки, Азии и Европы, использовали буткит Mosaic Regressor, чтобы закрепиться в целевых системах. Проанализировав атаку с использованием другого современного буткита MoonBounce, исследователи были поражены глубоким знанием злоумышленниками ИТ-инфраструктуры жертвы. Они увидели, что злоумышленники тщательно изучили прошивку устройства, что позволяет предположить, что это была узконаправленная атака.