随后的分析表明,数百种型号的技嘉PC中都存在相同的代码。我们正在与技嘉合作,以解决其应用中心功能的这种不安全实施。
为了保护组织免受恶意行为者的侵害,我们还以比典型漏洞披露更快的时间公开披露此信息和防御策略。此后门似乎正在实现有意的功能,并且需要固件更新才能将其从受影响的系统中完全删除。虽然我们正在进行的调查尚未证实特定威胁行为者的利用,但难以移除的活跃的广泛后门会给拥有技嘉系统的组织带来供应链风险。在高级别上,相关的攻击媒介包括:
1.供应链中的妥协
2.在当地环境中妥协
3.通过系统中此固件的功能实现恶意软件持久性
下面提供了对这些风险的更详细分析,并提供了建议的缓解措施。在更传统的漏洞披露时间表之后,我们计划发布有关其工作原理的详细信息。
主要发现
我们的发现有两个重要方面:
1.Eclypsium自动启发式检测技嘉系统上的固件会丢弃在Windows启动过程中执行的可执行Windows二进制文件。
2.此可执行二进制文件不安全地从互联网下载和执行额外的有效负载。
由于更多这样的问题不断被发现,Eclypsium不断对信息技术供应链进行大规模分析。在此博客和Eclypsium平台上为您的组织寻找其他发现。
第 1 阶段:固件删除操作系统可执行文件
对受影响的 UEFI 固件的初步分析确定了以下文件:
8ccbee6f7858ac6b92ce23594c9e2563ebcef59414b5ac13ebebde0c715971b2.bin
AEB1671D-019C-4B3B-BA-00-35-A2-E6-28-04-36.
“WpbtDxe.efi”模块检查在将可执行文件安装到 WPBT ACPI 表之前,是否已在 BIOS/UEFI 安装程序中启用“APP Center Download & Install”功能。尽管默认情况下此设置似乎处于禁用状态,但它已在我们检查的系统上启用。
此可执行文件使用 Windows 本机 API 将嵌入式可执行文件的内容写入文件系统的以下位置:
%SystemRoot%\system32\GigabyteUpdateService.exe
然后,它将注册表项设置为将此可执行文件作为 Windows 服务运行。这里描述的机制类似于前面提到的其他UEFI固件植入物使用的方法,如LoJax,MosiacRegressor,MoonBounce和Vector-EDK。
第 2 阶段:下载并运行更多可执行文件
删除的Windows可执行文件是一个.NET应用程序。它从以下位置之一下载并运行可执行有效负载,具体取决于其配置方式:
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://software-nas/Swhttp/LiveUpdate4
纯HTTP(上面的第一个项目符号)永远不应该用于更新特权代码,因为它很容易通过中间机器(MITM)攻击而受到损害。但是,我们注意到,即使使用启用 HTTPS 的选项,远程服务器证书验证也无法正确实现。因此,在这种情况下,MITM也是可能的。
固件不会对可执行文件实施任何加密数字签名验证或任何其他验证。丢弃的可执行文件和正常下载的技嘉工具确实具有满足Microsoft Windows代码签名要求的技嘉加密签名,但这对抵消恶意使用几乎没有作用,特别是如果使用Living-off-the-land技术被利用(如最近关于Volt Typhoon攻击者的警报)。因此,任何威胁参与者都可以使用它通过 MITM 或受感染的基础设施持续感染易受攻击的系统。
风险和影响
这些问题使组织面临广泛的风险和攻击场景。
威胁行为者滥用 OEM 后门 –以前,威胁行为者利用了内置在PC固件中的合法但不安全/易受攻击的“OEM后门”软件。最值得注意的是,Sednit集团(APT28,FancyBear)利用ComputraceLoJack伪装成合法的笔记本电脑防盗功能。
OEM更新基础设施和供应链的妥协 – 技嘉在其网站上确实有此功能的文档,因此可能是合法的,但我们无法确认技嘉内部发生了什么。2021 年 2021 月,技嘉经历了 RansomEXX 组对关键数据的泄露,然后在次年经历了 AvosLocker 组的另一次泄露。
MITM对固件和软件更新功能的攻击 – 此外,更新过程的不安全性质通过受感染的路由器、同一网段上的受感染设备、DNS中毒或其他网络操纵为 MITM 技术打开了大门。同样重要的是要注意,第三个连接选项 https://software-nas/Swhttp/LiveUpdate4 ,不是完全限定的域名,而是可能在本地网络上的计算机名称。这意味着本地子网上的攻击者可以诱使植入程序连接到他们的系统,而无需 DNS 欺骗。
由于官方固件中不需要的行为而导致的持续风险– 隐藏在 UEFI 或其他固件中的后门可能很难删除。即使删除了后门可执行文件,固件也会在下次系统启动时再次将其删除。在尝试从联想笔记本电脑中删除Computrace LoJack和Superfish工具时,已经证明了这一挑战。
建议:
1.我们建议在使用技嘉系统或带有受影响主板的系统时要小心。组织还可以采取以下措施来最大程度地降低风险:
2.扫描和监控系统和固件更新,以检测受影响的技嘉系统和固件中嵌入的类似后门程序的工具。将系统更新到经过验证的最新固件和软件,以解决此类安全问题。
3.检查并禁用技嘉系统上UEFI/BIOS设置中的“APP中心下载和安装”功能,并设置BIOS密码以阻止恶意更改。
管理员还可以阻止以下 URL:
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://software-nas/Swhttp/LiveUpdate4
此处提供了受影响型号的列表。
检查方法
搜索本地文件是否存在如下恶意文件
8ccbee6f7858ac6b92ce23594c9e2563ebcef59414b5ac13ebebde0c715971b2.binsystem32\GigabyteUpdateService.exe
https://www.voidtools.com/zh-cn/
https://www.gigabyte.com/Support/Security
检测脚本如下:
https://github.com/CE2Sec/GIGABYTEBackdoorDetection
以上缓解措施、及脚本未检测出并不意味着系统一定安全,仅供参考仅供参考,修复措施和缓解方法技嘉官方通告为准,ce2团队将持续保持关注
「由于传播、利用本文章及ce2团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!」