Nonostante il tentativo – orchestrato da Microsoft ad ottobre – di abbattere l’intera infrastruttura di Trickbot, il malware si è ripresentato ancora una volta. E con sé ha portato altre nuove funzioni progettate per ispezionare il firmare UEFI/BIOS dei sistemi bersaglio.
Indice degli argomenti
Trickbot e la nuova funzione per infettare l’UEFI/BIOS
La Windows Unified Extensible Firmware Interface (UEFI) è una specifica che regola il funzionamento del firmware a basso livello, incluso il caricamento del sistema operativo stesso.
Può essere utilizzata anche quando il sistema operativo è già in funzione, per esempio per aggiornare il firmware.
Il BIOS è invece un firmware utilizzato per eseguire l’inizializzazione dell’hardware durante il processo di avvio e per fornire i servizi di runtime per sistemi operativi e programmi.
Secondo una recente ricerca, Trickbot ha aggiunto al suo arsenale una nuova funzionalità, chiamata TrickBoot, in grado di controllare i device bersaglio alla ricerca di vulnerabilità che possono permettere ai criminal hacker di scrivere all’interno o cancellare il firmware di UEFI e BIOS.
Questa nuova funzione offre agli aggressori una serie di vantaggi. Per esempio, la possibilità di inserire codice malevolo all’interno del meccanismo di boot, così da assicurarsi che questo venga eseguito prima di qualsiasi altra funzione.
Di fatto, TrickBoot permette al criminal hacker di controllare come il sistema operativo viene avviato fino ad arrivare a poterlo riscrivere direttamente, disabilitando una serie di controlli di sicurezza.
Questa attività pone le basi per gli operatori di Trickbot per eseguire misure più attive come l’installazione di impianti di firmware e backdoor o addirittura la distruzione (bricking) di un dispositivo mirato.
Gli impianti malware a livello UEFI hanno anche un ulteriore vantaggio in quanto sono estremamente furtivi.
E, dal momento che il firmware è memorizzato sulla scheda madre, queste minacce possono fornire agli aggressori una persistenza continua anche se un sistema viene sanitizzato o un disco rigido viene sostituito.
La capacità di scrivere codice dannoso sul firmware del sistema è una tecnica fino ad oggi vista “in the wild” in poche occasioni. Queste capacità sono state abusate in passato come un modo per gli aggressori di mantenere la persistenza del firmware, in particolare dal malware LoJax e dalla campagna Slingshot APT. Attacchi comunque altamente specializzati e condotti da parte di gruppi dotati di un livello di skill decisamente alto.
Il fatto che questa tecnica sia ora associata a Trickbot è un chiaro segnale che presto potremmo trovarci di fronte a un’incidenza molto più alta di questi attacchi.
Trickbot: il ritorno dopo il takedown
Questo ritorno con nuove funzionalità segna l’ennesimo nuovo capitolo della saga di Trickbot.
Nonostante questo abbia subito un duro colpo, grazie a un’azione coordinata guidata da Microsoft, che ha smantellato la botnet che lo diffondeva.
Al tempo – si parla dello scorso ottobre – un tribunale distrettuale americano aveva accolto la richiesta di un’ordinanza per fermare le operazioni di Trickbot, che Microsoft aveva eseguito di concerto con altre aziende, tra cui ESET, Black Lotus Labs di Lumen, NTT Ltd., Symantec e altre.
Tuttavia, i ricercatori avvertirono all’epoca che gli operatori di Trickbot avrebbero rapidamente cercato di far ripartire le loro operazioni – una previsione che si è presto avverata.
Secondo AdvIntel ed Eclypsium, le infezioni causate da Trickbot, infatti, si sono gonfiate nei due mesi successivi al takedown, raggiungendo il picco di 40mila nuove vittime in un solo giorno. Una dimostrazione di come ottenere un primo ingresso all’interno di una rete bersaglio non sia una sfida per gli operatori di Trickbot.
Cos’è e come avviene l’UEFI/BIOS Bug Scanning
È proprio durante il picco che i ricercatori si sono accorti della nuova funzione di UEFI/BIOS scanning, incontrando, all’interno della infection chain di Trickbot, il file PermaDll.
Perma – il cui nome richiama proprio il concetto di permanenza – ha attirato subito l’attenzione dei ricercatori, determinati a comprenderne la funzione.
Analizzandolo, è stato possibile determinare come questo fosse legato alle capacità di scannerizzare il firmware UEFI di un sistema vittima per pianificare attacchi successivi o stabilire una permanenza.
Inoltre, l’analisi ha mostrato che il modulo TrickBoot utilizza il driver RwDrv.sys del popolare strumento RWEverything.
RWEverything (read-write everything) è un potente tool che può permettere ad un aggressore di scrivere ovunque, incluso il controller SPI che governa il sistema UEFI/BIOS.
TrickBoot usa questo strumento per interagire con il controller SPI del firmware e verificare se il firmware può essere modificato, controllando se la protezione di scrittura del BIOS è abilitata o meno.
Trickbot include una copia offuscata di RwDrv.sys incorporato nel malware stesso, fa cadere il driver nella directory di Windows, avvia il servizio RwDrv e poi fa chiamate DeviceIoControl per parlare con l’hardware.
Finora è stata rilevata solo l’attività di scansione; tuttavia, nel modulo è integrato anche il codice primitivo per la lettura, la scrittura e la cancellazione del firmware, che probabilmente segnala attività futura in questo senso.
