O Mais Refinado Implante de Firmware UEFI: Detecção do MoonBounce
Índice:
Um novo implante malicioso de firmware UEFI recém-criado, denominado “MoonBounce”, está devastando na natureza. Acredita-se que a ameaça seja obra de um grupo de hackers de língua chinesa, APT41, também conhecido como Double Dragon ou Winnti. Este rootkit UEFI está destinado a causar agitação, tendo já obtido o título de ser o mais furtivo de todos os ataques anteriores desse tipo. O fato de ser gerido pelo notório APT41, que supostamente tem ligações com o governo, também não suaviza a situação para os profissionais de segurança.
Ataques Relatados Como MoonBounce
MoonBounce é o terceiro malware amplamente conhecido entregue através de bootkit UEFI encontrado na natureza. Seus predecessores, amostras notórias chamadas LoJax e MosaicRegressor, provaram seu perigoso potencial como ferramentas altamente eficientes para a implementação rápida e quase indetectável de ciberataques. Primeiramente, uma introdução sobre o UEFI em resumo. A abreviação significa Unified Extensible Firmware Interface, que é uma tecnologia moderna embutida em chips colocados em uma placa-mãe. Projetado para substituir o BIOS legado (ainda que seja compatível com ele), o UEFI resolve uma série de suas limitações e é comumente usado para facilitar a sequência de inicialização da máquina e carregar o sistema operacional. UEFI entrou no radar dos adversários como um alvo muito lucrativo que permite ataques altamente persistentes.
O iniciante MoonBounce marca um marco significativo na evolução de rootkits UEFI, vindo com uma cadeia de destruição cuidadosamente planejada e um fluxo de execução convincente. No lado positivo, esse tipo de infecção é bastante direcionado e, com as ferramentas e estratégias de segurança adequadas, pode ser protegido.
Execução do MoonBounce
Descoberto por caçadores de ameaças da Kaspersky Lab em 2021, este malware avançado e de difícil detecção é conhecido por funcionar na memória flash SPI do dispositivo alvo. A plantação bem-sucedida permite que os agentes de ameaça coloquem suas mãos na sequência de fluxo de inicialização da máquina infectada, adicionando modificações prejudiciais ao firmware UEFI legítimo. Uma máquina infectada com MoonBounce tem um implante que persiste em um formato de drive e opera apenas na memória, tornando-se assim indetectável no HDD. A cadeia de infecção leva à injeção de malware em um processo svchost.exe assim que o computador inicializa o SO. Como resultado, o código malicioso é implantado, permitindo que os hackers soltem e executem cargas adicionais.
Ser capaz de executar código malicioso em uma fase tão inicial do processo de inicialização é uma ótima notícia para o lado obscuro, ou seja, os hackers. Dada a ausência de qualquer solução de prevenção eficiente que opere nesse nível, como um antivírus ou software de detecção de intrusão, eles obtêm uma vantagem assim que estão no sistema.
Detecção e Mitigação do Ataque MoonBounce
À medida que esta nova ameaça furtiva segue seu caminho para comprometer o firmware UEFI, encorajamos as organizações a estarem preparadas e a procurarem por anomalias que comprovem que foram comprometidas, para se proteger contra gravações não autorizadas na memória flash SPI do sistema. Para identificar possíveis ataques e remediar um comprometimento baseado em firmware UEFI, opte por baixar um conjunto de regras Sigma gratuitas. O conteúdo foi lançado por nossos desenvolvedores atentos do Threat Bounty Emir Erdogan, Kaan Yeniyol, Kyaw Pyiyt Htet, e a equipe SOC Prime.
Detecção de Carregador StealthMutant APT41 (via Cmdline)
Detectar Carregador StealthMutant (Ataque MoonBounce)
Detectar Malware MoonBounce em Firmware UEFI (via Evento de Tarefa Agendada)
Indicadores de Rede do Bootkit de Firmware MoonBounce (via DNS)
Indicadores de Rede do Bootkit de Firmware MoonBounce (via Proxy)
Essas detecções têm traduções para as seguintes plataformas de SIEM, EDR e XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix e Open Distro.
A lista completa de detecções para o MoonBounce no repositório do Threat Detection Marketplace da plataforma SOC Prime está disponível aqui.
Inscreva-se gratuitamente na plataforma Detection as Code da SOC Prime para detectar as ameaças mais recentes dentro do seu ambiente de segurança, melhorar a cobertura de fontes de logs e MITRE ATT&CK e, acima de tudo, aumentar as capacidades de defesa cibernética da organização. Tem ambições elevadas na cibersegurança? Junte-se ao nosso programa Threat Bounty, desenvolva suas próprias regras Sigma e obtenha recompensas recorrentes por sua valiosa contribuição!
