Ce2安全小组发布技嘉固件后门检测工具
2023-6-2 11:21:26 Author: 白帽兔(查看原文) 阅读量:12 收藏

最近,Eclypsium平台开始在野外检测技嘉系统中可疑的类似后门的行为。这些检测由启发式检测方法驱动,这些方法在检测新的、以前未知的供应链威胁方面发挥着重要作用,其中合法的第三方技术产品或更新已受到损害。
我们的后续分析发现,技嘉系统中的固件在系统启动过程中丢弃并执行Windows本机可执行文件,然后该可执行文件会下载并不安全地执行其他有效负载。它使用与其他OEM后门类功能相同的技术,如Computrace后门(又名LoJack DoubleAgent),被威胁行为者甚至固件植入物(如Sednit LoJaxMosaicRegressorVector-EDK)滥用。

随后的分析表明,数百种型号的技嘉PC中都存在相同的代码。我们正在与技嘉合作,以解决其应用中心功能的这种不安全实施。

为了保护组织免受恶意行为者的侵害,我们还以比典型漏洞披露更快的时间公开披露此信息和防御策略。此后门似乎正在实现有意的功能,并且需要固件更新才能将其从受影响的系统中完全删除。虽然我们正在进行的调查尚未证实特定威胁行为者的利用,但难以移除的活跃的广泛后门会给拥有技嘉系统的组织带来供应链风险。在高级别上,相关的攻击媒介包括:

1.供应链中的妥协

2.在当地环境中妥协

3.通过系统中此固件的功能实现恶意软件持久性

下面提供了对这些风险的更详细分析,并提供了建议的缓解措施。在更传统的漏洞披露时间表之后,我们计划发布有关其工作原理的详细信息。

主要发现

我们的发现有两个重要方面:

1.Eclypsium自动启发式检测技嘉系统上的固件会丢弃在Windows启动过程中执行的可执行Windows二进制文件。

2.此可执行二进制文件不安全地从互联网下载和执行额外的有效负载。

由于更多这样的问题不断被发现,Eclypsium不断对信息技术供应链进行大规模分析。在此博客和Eclypsium平台上为您的组织寻找其他发现。

 1 阶段:固件删除操作系统可执行文件

对受影响的 UEFI 固件的初步分析确定了以下文件:

8ccbee6f7858ac6b92ce23594c9e2563ebcef59414b5ac13ebebde0c715971b2.bin
这是一个 Windows 本机二进制文件可执行文件,嵌入在 UEFI 固件卷中的 UEFI 固件二进制文件中,具有以下 GUID

AEB1671D-019C-4B3B-BA-00-35-A2-E6-28-04-36. 

 Windows 可执行文件嵌入到 UEFI 固件中,并由固件写入磁盘,作为系统启动过程的一部分,这是 UEFI 植入和后门常用的技术。
 UEFI 固件启动过程的驱动程序执行环境 (DXE) 阶段,“WpbtDxe.efi”固件模块使用上述 GUID 将嵌入的 Windows 可执行文件加载到内存中,将其安装到 WPBT ACPI 表中,该表稍后将在 Windows 启动时由 Windows 会话管理器子系统 (smss.exe) 加载和执行。

“WpbtDxe.efi”模块检查在将可执行文件安装到 WPBT ACPI 表之前,是否已在 BIOS/UEFI 安装程序中启用“APP Center Download & Install”功能。尽管默认情况下此设置似乎处于禁用状态,但它已在我们检查的系统上启用。

此可执行文件使用 Windows 本机 API 将嵌入式可执行文件的内容写入文件系统的以下位置:

%SystemRoot%\system32\GigabyteUpdateService.exe

然后,它将注册表项设置为将此可执行文件作为 Windows 服务运行。这里描述的机制类似于前面提到的其他UEFI固件植入物使用的方法,如LoJaxMosiacRegressorMoonBounceVector-EDK

 2 阶段:下载并运行更多可执行文件

删除的Windows可执行文件是一个.NET应用程序。它从以下位置之一下载并运行可执行有效负载,具体取决于其配置方式:

http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4https://software-nas/Swhttp/LiveUpdate4

HTTP(上面的第一个项目符号)永远不应该用于更新特权代码,因为它很容易通过中间机器(MITM)攻击而受到损害。但是,我们注意到,即使使用启用 HTTPS 的选项,远程服务器证书验证也无法正确实现。因此,在这种情况下,MITM也是可能的。

固件不会对可执行文件实施任何加密数字签名验证或任何其他验证。丢弃的可执行文件和正常下载的技嘉工具确实具有满足Microsoft Windows代码签名要求的技嘉加密签名,但这对抵消恶意使用几乎没有作用,特别是如果使用Living-off-the-land技术被利用(如最近关于Volt Typhoon攻击者的警报)。因此,任何威胁参与者都可以使用它通过 MITM 或受感染的基础设施持续感染易受攻击的系统。

风险和影响

这些问题使组织面临广泛的风险和攻击场景。

威胁行为者滥用 OEM 后门 以前,威胁行为者利用了内置在PC固件中的合法但不安全/易受攻击的“OEM后门软件。最值得注意的是,Sednit集团(APT28FancyBear)利用ComputraceLoJack伪装成合法的笔记本电脑防盗功能。

OEM更新基础设施和供应链的妥协 – 技嘉在其网站上确实有此功能的文档,因此可能是合法的,但我们无法确认技嘉内部发生了什么。2021  2021 月,技嘉经历了 RansomEXX 组对关键数据的泄露,然后在次年经历了 AvosLocker 的另一次泄露。

使用 UEFI Rootkit 和植入物的持久性– UEFI Rootkit 和植入物是现存最隐蔽、最强大的恶意软件形式。它们驻留在主板上的固件或存储介质的 EFI 系统分区中,并在操作系统之前执行,从而允许它们完全颠覆在更高层中运行的操作系统和安全控制。
此外,由于大多数 UEFI 代码存在于主板上而不是存储驱动器上,因此即使擦除驱动器并重新安装操作系统,UEFI威胁也很容易持续存在。近年来,新 UEFI rootkit 的发现速度急剧加快,如 LoJax 2018)、MosaicRegressor2020)、FinSpy2021)、ESPecter2021)、MoonBounce2022)、CosmicStrand2022)和 BlackLotus 2023) 的发现。
其中大多数用于启用其他基于操作系统的恶意软件的持久性。此技嘉固件映像和持续丢弃的 Windows 可执行文件可实现相同的攻击场景。通常,上述植入物使其本机Windows可执行文件看起来像合法的更新工具。在MosaicRegressor的情况下,Windows有效载荷被命名为“IntelUpdater.exe”

MITM对固件和软件更新功能的攻击 – 此外,更新过程的不安全性质通过受感染的路由器、同一网段上的受感染设备、DNS中毒或其他网络操纵为 MITM 技术打开了大门。同样重要的是要注意,第三个连接选项 https://software-nas/Swhttp/LiveUpdate4 ,不是完全限定的域名,而是可能在本地网络上的计算机名称。这意味着本地子网上的攻击者可以诱使植入程序连接到他们的系统,而无需 DNS 欺骗。

由于官方固件中不需要的行为而导致的持续风险– 隐藏在 UEFI 或其他固件中的后门可能很难删除。即使删除了后门可执行文件,固件也会在下次系统启动时再次将其删除。在尝试从联想笔记本电脑中删除Computrace LoJackSuperfish工具时,已经证明了这一挑战。

建议:

1.我们建议在使用技嘉系统或带有受影响主板的系统时要小心。组织还可以采取以下措施来最大程度地降低风险:

2.扫描和监控系统和固件更新,以检测受影响的技嘉系统和固件中嵌入的类似后门程序的工具。将系统更新到经过验证的最新固件和软件,以解决此类安全问题。

3.检查并禁用技嘉系统上UEFI/BIOS设置中的“APP中心下载和安装功能,并设置BIOS密码以阻止恶意更改。

管理员还可以阻止以下 URL

http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4https://software-nas/Swhttp/LiveUpdate4

此处提供了受影响型号的列表。

检查方法
搜索本地文件是否存在如下恶意文件

8ccbee6f7858ac6b92ce23594c9e2563ebcef59414b5ac13ebebde0c715971b2.binsystem32\GigabyteUpdateService.exe
建议安装 everything 工具进行,下载地址为
https://www.voidtools.com/zh-cn/

缓解措施:
进入技嘉Bios/UEFI 设置页面,关闭 APP 中心下载和安装
技嘉官网:
https://www.gigabyte.com/Support/Security

检测脚本如下:

https://github.com/CE2Sec/GIGABYTEBackdoorDetection

以上缓解措施、及脚本未检测出并不意味着系统一定安全,仅供参考仅供参考,修复措施和缓解方法技嘉官方通告为准,ce2团队将持续保持关注

免责声明

「由于传播、利用本文章及ce2团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!」


文章来源: http://mp.weixin.qq.com/s?__biz=MzA4NzUzNzgyMw==&mid=2247485832&idx=1&sn=8e825c81316f6f1240d65d21d00c1ca2&chksm=9036a878a741216e71d59b9b6b78edccb216d928f3f8444fa2cee3940143fbba6e2928210008#rd
如有侵权请联系:admin#unsafe.sh