Cybersecurity Malware

งมเข็มในมหาสมุทร: ค้นหาส่วนประกอบที่ไม่จำเป็นของ UEFI จากส่วนประกอบนับล้าน

การค้นหาไฟล์อันตรายจากส่วนประกอบนับล้านของ UEFI

ผู้เชี่ยวชาญของ ESET อธิบายเกี่ยวกับการใช้ Machine Learning ว่าจะค้นหาส่วนประกอบที่ไม่ต้องการจากตัวอย่างนับล้านได้อย่างไร

UEFI (Unified Extensible Firmware Interface) อยู่ในกระแสของการวิพากษ์วิจารณ์มาในช่วงหลายปีที่ผ่านมา แต่ด้วยขีดจำกัดหลายอย่างทำให้ มัลแวร์ที่เป็น UEFI จึงมีไม่มาก เช่น LoJax ทำให้เราเห็นประสิทธิภาพและความเป็นไปได้ของ UEFI รวมถึงภัยคุกคามที่เป็นไปได้

ด้วย UEFI Scanner ของ ESET เราได้คิดวิธีที่จะใช้ Machine Learning เพื่อค้นหาสิ่งแปลกปลอมจากตัวอย่าง UEFI ระบบนี้สามารถระบุ UEFI Executable ที่น่าสงสัย การสังเกตการณ์แบบเรียลไทม์ และลดการใช้ทรัพยากรในการวิเคราะห์ 90% เมื่อเทียบกับการวิเคราะห์ตัวอย่างเอง

A MACHINE-LEARNING METHOD TO EXPLORE THE UEFI LANDSCAPE

UEFI คืออะไร?

UEFI เป็นอินเตอร์เฟซที่อยู่ระหว่างตัวระบบปฏิบัติการ (Operating System) และเฟิร์มแวร์ของอุปกรณ์ มีชุดบริการมาตรฐาน ชื่อว่า “boot services” และ “runtime services” เป็นส่วนประกอบหลักของ API ในเฟิร์มแวร์ของ UEFI ซึ่ง UEFI มาแทนตัว BIOS (Basic Input/Output System) ที่ใช้มาก่อนหน้านี้

เฟิร์มแวร์ของ UEFI เก็บอยู่ในหน่วยความจำ SPI Flash Memory ในเมนบอร์ด แม้ว่าจะมีการลงระบบปฏิบัติการใหม่แต่โค้ดของเฟิร์มแวร์ก็จะไม่เปลี่ยน

การโจมตี UEFI

เฟิร์มแวร์สามารถดัดแปลง หรือเจาะระบบความปลอดภัยของคอมพิวเตอร์ได้

ในกรณีเลวร้ายที่สุดก็คือ เฟิร์มแวร์ของคอมพิวเตอร์ถูกดัดแปลง หรือออกแบบมาอย่างไม่เหมาะสม ทำให้แฮกเกอร์สามารถเข้าถึงอุปกรณ์ได้ หรืออีกช่องทางหนึ่งอย่างแฟลชเฟิร์มแวร์ สุดท้ายก็คือการใช้ระบบรีโมตเพื่อดัดแปลงเฟิร์มแวร์ อย่างในกรณีของ LoJax

LoJax เป็นกรณีที่ค้นพบได้ยาก เพราะไฟล์อันตรายภายของ UEFI นั้นมีน้อยมาก มีเพียง 2.5 ล้านจาก 3 พันล้านไฟล์ (ข้อมูล 2 ปีที่ผ่านมา) และแทบเป็นไปไม่ได้เลยที่จะให้คนมาตรวจสอบ

ข้อมูลเพิ่มเติมของงานวิจัยสามารถอ่านได้ที่:

A machine-learning method to explore the UEFI landscape

Author: Filip Mazán และ Frédéric Vachon
Source:
https://www.welivesecurity.com/2019/10/08/needles-haystack-unwanted-uefi-components/
Translated by: Worapon H.

%d bloggers like this: