ESET の専門家が、クレムリンの Fancy Bear ハッキング クルーが使用している Unified Extensible Firmware Interface (UEFI) ルートキットについてさらに詳しく明らかにしました。
Lojaxと呼ばれるこの悪質なソフトウェアは、感染したWindows PCのマザーボードファームウェアに埋め込まれ、マシンの電源投入時またはリセット直後に実行され、ユーザーをスパイし、オペレーティングシステムやウイルス対策ツールによる検出を回避します。ファームウェアはOSカーネルやアプリの下位レベルで実行され、システムへのフルアクセスが可能です。
ESETは9月にLojaxの存在を公表しましたが、マルウェアの詳細な動作は12月末に開催されたComputer Chaos Club年次会議まで明らかにされませんでした。この会議で研究者のフレデリック・ヴァション氏がプレゼンテーションを行い、UEFIベースのルートキットが最新のファームウェアに潜伏する仕組みについて説明しました。ESETは、顧客のコンピューター1台がこのマルウェアに感染した際に、Lojaxのコピーを入手することができました。
簡単に言うと、正規の盗難防止ソフトウェア Lojack の改変版である Lojax は、スピアフィッシング メールを介して配信される汚染されたアプリケーションとして始まり、騙された被害者が実行すると、起動時に UEFI ファームウェアによって読み込まれる脆弱なドライバーを乗っ取るコードを解凍して実行し、フラッシュ メモリにルートキットをインストールします。
UEFIには、OSが起動する前に、マシンの動作に必要なデバイスドライバを検索して実行するDXEと呼ばれるメカニズムがあります。Lojaxは、ロードされたドライバの1つを改ざんすることで、ファームウェアの書き込み保護のスイッチを切り替え、保護機能を無効化してチップの内容を上書きできるようにします。この時点で、マルウェアはルートキットをファームウェアに注入し、その後の電源投入またはリセットサイクル後にルートキットが実行されるようにします。
バイオハザード:政府スパイに使われるUEFIルートキットの内部。作成者は誰だかご存知のロシア
続きを読む
そこで、ドライバを改ざんし、次回起動時にファームウェアのロックを解除します。その後、Lojaxはフラッシュチップの内容を改変してルートキットを注入し、次回起動時にスパイウェアが起動します。これは、ファームウェアが独自のセキュリティを維持することを期待しているためです。
「チップセットは書き込み保護機構を備えており、ファームウェアによって適切に保護される必要があります」と彼は説明した。「BIOSにはデフォルトで書き込み保護のようなものがないため、それを実現するのはファームウェアの役割です。」
ファームウェアの書き込み保護を解除するために、Lojax は、マザーボードのソフトウェアが介入して自動的に更新を無効にする前に、BIOS 更新を繰り返し有効にしてフラッシュ メモリへの書き込みを試行することにより、Intel のフラッシュ メモリ コントローラの既知の競合状態を悪用します。
それが完了すると、Lojax は完全なルートキットを UEFI ファームウェアに書き込むことができるようになり、オペレーティングシステムの起動時にマルウェアがインストールされ実行されることが保証されるため、ボードの SPI メモリを完全に再フラッシュしない限り、削除することはほぼ不可能になります。
幸いなことに、Vachon氏は、ベンダー自身がドライバの脆弱性を修正・パッチ適用したり、セキュアブートを有効にしたりすることで、この攻撃から身を守ることができると指摘しています。これにより、Lojaxマルウェアはインストール試行を自動的に中止します。セキュアブートは、ファームウェアの内容が改ざんされないよう暗号化によって保護します。また、メールで送られてきたアプリケーションをシステム管理者として開かないようにすることも大きな効果があります。ルートキットインストーラはシステム管理者権限を必要とするからです。しかし、権限昇格の脆弱性を悪用して管理者権限を取得する可能性もあるため、真の解決策はBIOS設定でセキュアブートを有効にし、パスワードなどのロックを設定して変更を防ぐことです。
「このツールは、プラットフォームの設定が誤っている場合にのみ機能します」と彼は説明した。「ファームウェアベンダーが適切な対応をしていれば、このツールはファームウェアのフラッシュに失敗していたはずです。これは、ファームウェアのセキュリティがいかに重要かを示す好例です。」®
