Malware

ซอฟต์แวร์อันตรายในเฟิร์มแวร์: วิธีเจาะการรักษาความปลอดภัย

เฟิร์มแวร์ที่ใช้กันอยู่อาจเป็นหนึ่งสาเหตุที่แฮกเกอร์สามารถเข้ามาถึงตัวผู้ใช้ได้

เมื่อพูดถึงภัยคุกคามไซเบอร์ บ่อยครั้งที่ทีมวิจัย ESET-LATAM พบโปรแกรมเรียกค่าไถ่ โทรจันธุรกรรม บอทเน็ตหรือ เวิร์ม แต่อีกประเภทหนึ่งของภัยคุกคามที่เราไม่ค่อยได้พูดถึงก็คือ ซอฟต์แวร์อันตรายที่สามารถทำงานอย่างเงียบๆที่อยู่ในเฟิร์มแวร์ หรือ Bootkits

Bootkits คือซอฟต์แวรอันตรายที่ฝังอยู่ใน Master Boot Record ที่เริ่มทำงานตอนเปิดเครื่อง ก่อนเริ่มระบบปฏิบัติการ ทำให้สามารถเปลี่ยนแปลงการเริ่มต้นใช้งานของระบบปฏิบัติการ และทำให้ซอฟต์แวร์สามารถซ่อนตัวและทำงานได้แนบเนียนยิ่งขึ้น นอกจากนั้นยังไม่สามารถถอนได้โดยการฟอร์แมต หรือลงวินโดวส์ใหม่ได้อีกด้วย

ภัยคุกคามนี้มีเป้าหมายเป็นระบบ Basic Input/Output System และ Unified Extensible Firmware Interface (BIOS และ UEFI) ในหลายรูปแบบ อย่างการแฟลช อัพเกรต หรือเจาะผ่านช่องโหว่ โดยเฉพาะ UEFI เหมือนแพลตฟอร์มที่มีช่องโหว่อย่างที่ BIOS ไม่มี อย่างเช่นการเริ่มทำงานโมดูลแบบกำหนดเอง ซึ่งอาจนำไปสู่การทำงานของมัลแวร์ก่อนเข้าระบบปฏิบัติการ

แม้คุณลักษณะเหล่านี้ของ UEFI จะมีมานานแล้ว ตั้งแต่ปี 1986 หรือก่อนหน้านี้ แต่ภัยคุกคามไซเบอร์ก็ยังคงปรับเปลี่ยนเพื่อหาวิธีเข้าถึงตัวผู้ใช้ให้ได้ในท้ายที่สุด

ทำไม Bootkits ถึงหน้าเป็นห่วง?

เมื่อพูดถึงความปลอดภัยประเด็นที่ต้องคิดถึงแรกๆเลยก็คือ ความเสี่ยง เพราะความเสี่ยงนั้นเป็นส่วนประกอบหลักของความเป็นไปได้ และผลกระทบที่เกิดขึ้น ดังนั้นผลกระทบจาก Bootkit ก็ค่อนข้างน่าเป็นห่วง

ทำไมถึงต้องเป็น Bootkits คำตอบมีอยู่ 2 อย่างก็คือ 1. พวกเราเห็นความเป็นได้ที่จะมีผู้ที่ออกแบบแผนการมาเพื่อหาผลประโยชน์จาก Bootkits ตราบใดที่ Bootkits ยังมีคนใช้อยู่ 2. เราต้องประเมินว่าเราสามารถตรวจจับภัยคุกคามรูปนี้ได้อย่างไร

เพื่อที่จะหาตัวผู้กระทำและแผนการต่างๆ เราจึงเลือกที่จะมองย้อนกลับไปในอดีตที่ผ่านมาว่ามีกรณีไหนที่มี Bootkits เป็นส่วนหนึ่งของแผนการ จากภาพไทม์ไลน์ด้านล่างทำให้เราเห็นว่าภัยคุกคามที่มี Bootkits รวมอยู่ด้วยมีมากขึ้น

1-history-of-BIOS-rootkits-768x207

Bootkit ที่รู้จักกันเป็นตัวแรกของโลกชื่อว่า Mebromi ประกอบด้วย BIOS rootkit, MBR rootkit, kernel mode rootkit, PE file infector และ Trojan downloader ที่สามารถเจาะเข้าไปในระบบเพื่อเรียกเนื้อหาจากภายนอก ซึ่งก็คือมัลแวร์ดีๆนี่เอง ในทุกๆครั้งที่ระบบทำงาน Mebromi จะโหลดโค้ดใน kernel mode เพื่อเข้า BIOS

น่าสนใจที่ปี 2014 หลายครั้งที่ bootkits มีส่วนเกี่ยวข้องกับการแฮกองค์กรเกี่ยวกับรัฐบาล ไม่ว่าจะทางตรงหรือทางอ้อม

ในแคตตาล็อค NSA ANT ปี 2014 มี DEITYBOUNCER ซอฟต์แวร์แอปพลิเคชั่นที่ให้สิทธิในการ “ฝังตัวอยู่ใน Dell PowerEdge servers โดยใช้ช่องโหว่ของ BIOS และ utillizing System Management Mode (SMM) เพื่อสิทธิในการเริ่มทำงานเป็นระยะๆ ในขณะที่ระบบปฏิบัติการโหลดอยู่” ซึ่งคล้ายๆกับ Mebromi ที่ใช้การดาวน์โหลด payload และเริ่มทำงานก่อนกระบวนการบูท

ในปี 2015 เป็นเวลาของ HT rkloader ถูกเปิดเผยจาก Hacking Team ต่างจากกรณีของ NSA เพราะไม่ใช่หน่วยงานของรัฐบาล มัลแวร์ตัวนี้มีการบุกรุก และตรวจตราที่ไม่เหมือนกับของรัฐบาล และ HT rkloader นับเป็น UEFI ตัวแรกของโลก

ส่วนที่หลุดออกมาจาก NSA โดยฝีมือของกลุ่มแฮกเกอร์ Shadow Brokers ชื่อว่า “BANANABALLOT” โมดูล BIOS ที่ฝังสิ่งที่มีชื่อว่า “BANANAGLEE” และ “JETPLOW”  เฟิร์มแวร์สำหรับ Cisco ASA และ อุปกรณ์ PIX ที่มี BANANAGLEE อยู่

ไม่นานที่ผ่านมานี้มีการเปิดเผยว่า Vault7 ของ CIA รัฐบาลนั้นก็ถูกออกแบบมาให้เล่นงานเฟิร์มแวร์เช่นกัน โดยใช้ช่องโหว่ S3BootScript (ช่องโหว่ได้รับการแก้ไขเมื่อปี 2015) เพื่อติดตั้งส่วนประกอบ UEFI บนระบบของ Apple

นี่เป็นเพียงตัวอย่างของ Bootkits เท่านั้น เพราะในปัจจุบันมีหลายการโจมตีที่มี Bootkits เป็นส่วนประกอบรองเท่านั้น

ถ้าคุณสงสัยว่า Bootkits จะสร้างความเดือดร้อนให้กับผู้ใช้ได้อย่างไร หนึ่งตัวอย่างที่ทุกคนคงนึกออกก็คือโปรแกรมเรียกค่าไถ่ WannaCryptor (WannaCry) ที่มีสาเหตุมาจากเครื่องมือแฮกที่ถูกแฮกเกอร์ขโมยไป

ความสามารถในการป้องกัน

ไม่มีอะไรน่ากลัวมากกว่าการไม่มีเซ้นส์ด้านความปลอดภัย จากการรั่วไหลของ Snowden ที่ช่วยปลุกความตระหนักในทั้งอุตสาหกรรมความปลอดภัยไซเบอร์

VirusTotal ได้โพสต์บล็อก “Putting the spotlight on firmware malware” ประกาศความสามารถใหม่ “characterizing in detail firmware images, legit or malicious”

2-BIOS-image-768x660-1.png

27 มกราคม 2016 วันที่ VirusTotal เปิดตัวฟีเจอร์ใหม่ที่สามารถแตกไฟล์และอัพโหลด UEFI Portable Executables สำหรับการวิเคราะห์ และโค้ดที่อาจเป็นต้นแบบของกิจกรรมร้ายๆหากถูกนำไปใช้อย่างไม่เหมาะสม

นี่เป็นการสนับสนุนด้านความปลอดภัยของพื้นที่ไซเบอร์ ที่ทำให้การวิเคราะห์มัลแวร์ในเฟิร์มแวร์มีให้เห็นมากขึ้น ทาง VirusTotal บอกว่ามีเครื่องมือบางอย่างที่ทำหน้าที่นี้ให้ ส่วนมากจะเป็นผู้เชี่ยวชาญ

3-warning-chipsec

ตัวเลือกที่จะสร้างความปลอดภัยให้กับ UEFI bootkits ก็คือการติดตั้งโปรแกรมรักษาความปลอดภัย เพื่อปกป้องเฟิร์มแวร์ของระบบ สาเหตุที่ภัยคุกคามนี้น่ากลัวก็คือ ความสามารถในการซ่อนที่แนบเนียน

 

Author: Cassius Puodzius
Source:
https://www.welivesecurity.com/2017/10/19/malware-firmware-exploit-sense-security/
Translated by: Worapon H.

%d bloggers like this: