Die Ausgereifteste UEFI-Firmware-Implantation: MoonBounce Erkennung
Inhaltsverzeichnis:
Ein neu entstandener bösartiger UEFI-Firmware-Implantat mit dem Namen „MoonBounce“ wütet in freier Wildbahn. Die Bedrohung wird als das Werk einer chinesischsprachigen APT41-Hackergruppe, auch bekannt als Double Dragon oder Winnti, angesehen. Diese UEFI-Rootkit scheint für Aufregung zu sorgen, da es bereits den Titel des unauffälligsten aller bisherigen Angriffe dieser Art erhalten hat. Die Tatsache, dass es von der berüchtigten APT41 betrieben wird, die angeblich Verbindungen zur Regierung hat, mildert die Situation für Sicherheitsprofis auch nicht ab.
Gemeldete Angriffe wie MoonBounce
MoonBounce ist das dritte weithin bekannte Malware-Auslieferung durch UEFI-Bootkit, das in freier Wildbahn entdeckt wurde. Seine Vorgänger, berüchtigte Muster namens LoJax und MosaicRegressor, haben sich als hocheffiziente Werkzeuge für zügige und kaum nachverfolgbare Cyberangriffe erwiesen. Zunächst einmal ein Einstieg in UEFI in Kürze. Die Abkürzung steht für Unified Extensible Firmware Interface, eine moderne Technologie, die in Chips eingebettet ist und auf einer Hauptplatine platziert wird. Entworfen, um das veraltete BIOS zu ersetzen (während es immer noch mit diesem kompatibel ist), adressiert UEFI eine Reihe von dessen Einschränkungen und wird häufig verwendet, um die Bootsequenz der Maschine zu erleichtern und das Betriebssystem zu laden. UEFI hat sich als sehr attraktives Ziel für Gegner erwiesen, das hochpersistente Angriffe ermöglicht.
Das neue MoonBounce markiert einen bedeutenden Meilenstein in der Entwicklung von UEFI-Rootkits und kommt mit einer gut durchdachten Angriffskette und beeindruckendem Ausführungsablauf. Auf der positiven Seite ist diese Art von Infektion eher zielgerichtet, und mit den richtigen Sicherheitswerkzeugen und Strategien kann man sich dagegen schützen.
MoonBounce-Ausführung
Entdeckt von Bedrohungsjägern bei Kaspersky Lab im Jahr 2021, ist diese fortgeschrittene, schwer nachweisbare Malware bekannt dafür, im SPI-Flash-Speicher des Zielgeräts zu funktionieren. Eine erfolgreiche Platzierung ermöglicht es Bedrohungsakteuren, die Hand auf die Bootflow-Sequenz der infizierten Maschine zu legen und schädliche Modifikationen an legitimer UEFI-Firmware hinzuzufügen. Eine MoonBounce-infizierte Maschine hat ein Implantat, das in einem Laufwerksformat persistiert und nur im Speicher operiert, wodurch es auf der Festplatte nicht auffindbar wird. Die Infektionskette führt zum Malware-Injektion in einen svchost.exe-Prozess, sobald der Computer ins Betriebssystem bootet. Dadurch wird der schädliche Code eingesetzt, der es Hackern ermöglicht, zusätzliche Nutzlasten abzulegen und auszuführen.
In der Lage zu sein, bösartigen Code in einem so frühen Stadium des Initialisierungsprozesses auszuführen, verspricht großartige Nachrichten für die dunkle Seite, also die Hacker. Angesichts des Fehlens einer effizienten Lösung zur Prävention, die auf dieser Ebene läuft, wie etwa ein Antivirus oder eine Eindringlingserkennung, haben sie einen Vorsprung, sobald sie im System sind.
MoonBounce Angriffserkennung und Abwehr
Da diese neue, unauffällige Bedrohung auf ihrem Weg ist, UEFI-Firmware zu kompromittieren, ermutigen wir Organisationen, sich zu rüsten und nach Anomalien Ausschau zu halten, die belegen, dass sie kompromittiert wurden, um sich vor unautorisierten Schreibvorgängen in das SPI-Flash-Speicher des Systems zu schützen. Um mögliche Angriffe zu identifizieren und eine UEFI-Firmware-basierte Kompromittierung zu beheben, empfehlen wir, eine Charge kostenloser Sigma-Regeln herunterzuladen. Der Inhalt wurde von unseren engagierten Threat Bounty-Entwicklern veröffentlicht Emir Erdogan, Kaan Yeniyol, Kyaw Pyiyt Htet, und dem SOC Prime Team.
APT41 StealthMutant Loader Erkennung (via Cmdline)
Erkennung von StealthMutant Loader (MoonBounce Angriff)
Erkennung von MoonBounce-Malware in UEFI-Firmware (via Geplantes Task-Ereignis)
MoonBounce Firmware Bootkit Netzwerkindikatoren (via dns)
MoonBounce Firmware Bootkit Netzwerkindikatoren (via Proxy)
Diese Erkennungen haben Übersetzungen für die folgenden SIEM-, EDR- & XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix und Open Distro.
Die vollständige Liste der MoonBounce-Erkennungen im Threat Detection Marketplace-Repository der SOC Prime-Plattform ist verfügbar hier.
Melden Sie sich kostenlos auf der Detection as Code-Plattform von SOC Prime an, um die neuesten Bedrohungen in Ihrer Sicherheitsumgebung zu erkennen, die Protokollquelle und die MITRE ATT&CK-Abdeckung zu verbessern und insgesamt die Cyberabwehrfähigkeiten der Organisation zu steigern. Haben Sie hohe Ambitionen im Bereich der Cybersicherheit? Nehmen Sie an unserem Threat Bounty-Programm teil, entwickeln Sie Ihre eigenen Sigma-Regeln und erhalten Sie wiederkehrende Belohnungen für Ihren wertvollen Beitrag!
