Investigadores da ESET desenvolvem método de learning-machine para identificar ameaças à UEFI - Wintech

A segurança da UEFI (Interface de Firmware Extensível Unificada) tem sido um tópico importante nos últimos anos, mas, devido a várias limitações, muito pouco malware baseado em UEFI foi encontrado no passado. Depois de descobrir o primeiro rootkit UEFI em estado selvagem, conhecido como LoJax, os investigadores da ESET decidiram criar um sistema que lhes permitisse explorar o vasto cenário da UEFI de uma forma eficiente, identificando com segurança ameaças emergentes e desconhecidas da UEFI.

Encontrar malware como o LoJax é raro - existem milhões de executáveis ​​UEFI em estado selvagem e apenas uma pequena parte deles é maliciosa. Vimos mais de 2,5 milhões de executáveis ​​UEFI únicos, de um total de 6 mil milhões, apenas nos últimos dois anos”, explica Filip Mazán, engenheiro de software da ESET, que trabalhou na construção do sistema de learning-machine.

Começando com os dados de telemetria conseguidos através do scanner UEFI da ESET, os especialistas em learning-machine da ESET e os investigadores de malware criaram um pipeline de processamento personalizado para executáveis ​​UEFI que aproveita o learning-machine para detetar estranhezas nas amostras recebidas. “Para reduzir o número de amostras que requerem atenção humana, decidimos construir um sistema personalizado para destacar amostras externas, encontrando características incomuns nos executáveis ​​UEFI”, diz Mazán.

Como prova de conceito, os investigadores testaram o sistema resultante em executáveis ​​UEFI suspeitos e mal-intencionados conhecidos que não foram incluídos anteriormente no conjunto de dados - principalmente o driver LoJax UEFI. O sistema concluiu com êxito que o driver LoJax era muito diferente de tudo o que já tinham visto anteriormente. “Esse teste bem-sucedido dá-nos um grau de confiança de que, se outra ameaça UEFI semelhante surgir, seremos capazes de identificar a mesma como uma singularidade, e desde logo analisá-la e criar um sistema de deteção de acordo com as necessidades”, comenta Mazán.

Para além de mostrar fortes recursos na identificação de executáveis ​​UEFI suspeitos, a abordagem de learning-machine reduziu a carga de trabalho dos analistas da ESET em até 90% (se analisassem todas as amostras recebidas). Graças ao facto de que cada novo executável UEFI recebido é adicionado ao conjunto de dados, processado, indexado e levado em consideração para as próximas amostras recebidas, a solução oferece monitorização em tempo real do cenário UEFI. 

Através da procura de ameaças à UEFI usando este sistema, os investigadores da ESET descobriram vários componentes UEFI interessantes que podem ser divididos em duas categorias: backdoors de firmware UEFI e módulos de persistência ao nível do SO. “Embora o nosso pipeline de processamento executável UEFI ainda não tenha resultado em encontrar nenhum novo malware UEFI, os resultados que ele produziu até agora são promissores”, diz Jean-Ian Boutin, investigador sénior de malware da ESET. A descoberta mais notável é o backdoor da ASUS: um backdoor de firmware UEFI encontrado em vários modelos de laptops da ASUS e corrigido pela ASUS após a notificação da ESET.

Classifique este item
(0 votos)
Ler 222 vezes
Tagged em

Sobre nós

Nascida em 2002, a Wintech é uma pagina web que reúne informações sobre tecnologia. Apresenta regularmente guias, análises, reportagens e artigos especiais de tudo o que rodeia o mundo tecnológico. Saiba mais.

Wintech TV

Newsletter

Receba as notícias no seu e-mail

Top