最も洗練されたUEFIファームウェアインプラント:MoonBounce検出
目次:
「MoonBounce」と名付けられた新しく発行されたUEFIファームウェアの悪意あるインプラントが野外で猛威を振るっています。この脅威は、中国語を話すAPT41ハッキンググループ、別名ダブルドラゴンまたはWinntiの仕業であると考えられています。このUEFIルートキットは、同様の過去の攻撃の中で最も隠密性があるとされ、すでに注目を集めています。APT41が政府との関係があるとされるがゆえ、セキュリティの専門家にとって状況を軽視することはできません。
MoonBounce のような報告された攻撃
MoonBounceは、野外で発見されたUEFIブートキットを利用した3番目に有名なマルウェアの配送方法です。その前身であるLoJaxおよびMosaicRegressorは、高度に効率的なサイバー攻撃の迅速かつ追跡困難な実装ツールとして、その危険な潜在力を証明してきました。 まず、UEFIの基本について紹介します。これは、Unified Extensible Firmware Interfaceの略で、マザーボードに配置されたチップ内に埋め込まれた現代のテクノロジーです。 従来のBIOSの代替として(互換性もある)、UEFIはその多くの制約を解消し、マシーンの起動シーケンスを促進し、オペレーティングシステムをロードするために一般的に使用されています。UEFIは敵対者のレーダーに非常に有益なターゲットとして捉えられ、高度な持続性のある攻撃を可能にします。
新参者MoonBounceは、徹底的に考え抜かれたキルチェーンと説得力のある実行フローを伴い、UEFIルートキットの進化における重要なマイルストーンを刻みます。良い面としては、このタイプの感染はむしろターゲットが絞られており、適切なセキュリティツールと戦略を持つことで、防御することが可能です。
MoonBounceの実行
発見 2021年にKaspersky Labの脅威ハンターによって、この高度で検出が困難なマルウェアは、ターゲットデバイスのSPIフラッシュメモリで動作することが知られています。成功した植え付けにより、脅威アクターは感染したマシンのブートフローシーケンスを掌握し、正当なUEFIファームウェアに有害な変更を加えます。MoonBounceに感染したマシンは、ドライブフォーマットに持続し、メモリ内でのみ作動するインプラントを持ち、したがってHDD上では追跡不可能になります。その感染チェーンは、OSにブートした際にsvchost.exeプロセスにマルウェアを注入することにつながります。その結果、悪意のあるコードが展開され、ハッカーは追加のペイロードを落とし実行できるようになります。
初期化プロセスの初期段階で悪意のあるコードを実行できることは、ハッカーにとって非常に有利です。そのレベルで動作する効率的な予防策、例えばアンチウイルスまたは侵入検知ソフトウェアの不在を考慮すると、彼らはシステム内部で先んじることができます。
MoonBounceの攻撃検出と緩和
この新しい隠密な脅威がUEFIファームウェアを危険にさらす道を進むにつれ、組織には、システムのSPIフラッシュメモリへの不正書き込みから身を守るために、侵されている証拠となる異常を検出することを強く推奨します。UEFIファームウェアベースの侵害を特定し、是正するために、一連の無料のSigmaルールをダウンロードすることをお勧めします。 コンテンツは、私たちの鋭いThreat Bounty開発者によってリリースされました エミル・エルドアン, カーン・イェニヨル, キヤウ・パイット・ヘット、そしてSOC Primeチーム。
APT41 StealthMutant Loader検出(Cmdline経由)
StealthMutant Loader(MoonBounce攻撃)を検出
UEFIファームウェアでMoonBounceマルウェアを検出(スケジュールされたタスクイベント経由)
MoonBounce ファームウェアブートキットネットワーク指標(DNS経由)
MoonBounce ファームウェアブートキットネットワーク指標(プロキシ経由)
これらの検出は、以下のSIEM、EDR & XDRプラットフォームに対応する翻訳があります: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix、およびOpen Distro。
SOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリ内のMoonBounce検出の全リストは こちら.
SOC PrimeのDetection as Codeプラットフォームに無料で登録し、セキュリティ環境内で最新の脅威を検出し、ログソースとMITRE ATT&CKカバレッジを向上させ、全体的に組織のサイバー防御能力を強化してください。サイバーセキュリティで高い野心を持っていますか?当社のThreat Bountyプログラムに参加し、自分のSigmaルールを開発し、貴重な貢献に対して継続的な報酬を獲得してください!
