O que é malware de firmware e como você pode evitar infecções?

O malware de firmware é persistente e particularmente difícil de detectar. Isso ocorre porque suas cadeias de infecção normalmente visam componentes de computação com privilégios de acesso Ring 0 e superiores. Os privilégios de controle estão muito além do que um usuário de computador típico controla e estão na interseção das comunicações de hardware e memória.

O acesso ao firmware permite que os invasores modifiquem as respostas do hardware, a memória do sistema e os aplicativos instalados. Os ataques de malware podem ser executados por meio de vários modos, incluindo Bluetooth, Wi-Fi e por meio de conexões de Internet padrão.

Por que o firmware do malware é tão formidável

A seguir estão algumas das razões pelas quais o malware de firmware é tão difícil de superar.

1. Malware pode contornar ferramentas antimalware regulares

O malware de firmware tem a capacidade de corromper camadas de alto privilégio. Como os aplicativos de segurança são controlados pelo sistema operacional em execução no firmware, o firmware comprometido pode ser usado para obter acesso a todos os softwares instalados. Uma intrusão de firmware também permite que entidades maliciosas implantem códigos que permitem a administração remota da máquina infectada.

2. O malware é persistente

O malware de firmware é incrivelmente difícil de erradicar, uma vez que atinge uma máquina. Mesmo soluções temporárias (como o uso de virtualizadores) oferecem apenas uma suspensão de curto prazo, evitando que setores inteiros sejam comprometidos simultaneamente.

Alterar os sistemas operacionais e recriar a imagem do sistema também não resolve o problema. Uma atualização completa de firmware é geralmente recomendada para superar o problema e, em casos extremos, uma atualização de hardware.

3. O malware assume as operações de pré-inicialização

O malware de firmware geralmente obtém o controle operacional de um sistema antes mesmo de inicializar. Isso ocorre porque ele controla o hardware e os protocolos de sequência de inicialização.

Nos últimos anos, um número significativo tem como alvo o Intel Manageability Engine (ME), um subsistema em chipsets Intel que está localizado no Platform Controller Hub.

O Management Engine funciona mesmo quando o computador está desligado e a única maneira de desligá-lo completamente é desconectando o computador ou removendo a bateria, se for um laptop.

Assim, o malware de firmware direcionado ao sistema ME opera em um ciclo quase contínuo sem passar por sequências de verificação, tornando a detecção excepcionalmente difícil. A boa notícia é que é difícil realizar uma exploração bem-sucedida de ME. Nos casos em que ocorrem tais intrusões, geralmente estão envolvidos atores patrocinados pelo estado.

Vetores de Ataque Comuns

Os sistemas BIOS (Basic Input / Output System) e UEFI (Unified Extensible Firmware Interface) são geralmente os vetores primários para ataques de firmware. As infecções geralmente são realizadas por meio de rootkits e bootkits.

1. Ataques de malware de BIOS

O malware no nível do BIOS geralmente reescreve o código do BIOS e injeta um código malicioso. Como o BIOS está localizado na memória e não no disco rígido, esse tipo de malware não pode ser detectado usando antivírus comum.

Tecnicamente, reprogramar o BIOS é uma tarefa que só pode ser executada por um superusuário. A maioria dos códigos de firmware do BIOS são projetados para evitar isso, bloqueando as edições na Interface Periférica Serial (SPI). Eles também tentam limitar o modo de gerenciamento do sistema (SMM) e as interações do BIOS para manter a integridade do BIOS.

O modo de gerenciamento de sistema (SMM) está presente em processadores baseados em x86. Por causa de seus altos privilégios de memória, ele é usado por hackers para acessar o sistema operacional e o firmware.

Infelizmente, muitos fornecedores de firmware aplicam salvaguardas de segurança superficiais a essas áreas sensíveis, permitindo assim que algumas modificações críticas sejam feitas por entidades maliciosas.

2. UEFI Firmware Malware

O UEFI, assim como o BIOS, é executado quando o computador está inicializando e antes do lançamento do sistema operacional. Ele opera em um chip embutido na placa-mãe. Os atacantes de firmware geralmente tentam modificar seu código para ter controle sistemático sobre uma máquina.

Leia mais: O que é UEFI?

Alguns malwares de intrusão UEFI aproveitam versões de intrusão de ferramentas, como RWEverything, que permitem que os hackers reprogramem o firmware. Em alguns casos, eles os utilizam para sequestrar o controlador SPI, que por sua vez gerencia o UEFI.

Muitos kits UEFI maliciosos começam analisando se está desbloqueado ou protegido contra gravação. O firmware UEFI normalmente deve ser protegido contra gravação, mas alguns fornecedores deixam essa opção aberta. Isso permite que os hackers implantem seus próprios patches UEFI.

Prevenção de ataques de firmware

A seguir estão algumas das medidas de mitigação que devem ser tomadas para evitar malware de firmware.

1. Procure compromissos

Para evitar que um sistema ataque ataques de firmware, a integridade do BIOS ou UEFI deve ser verificada primeiro. A estrutura CHIPSEC está entre as principais ferramentas recomendadas. Ele verifica o BIOS em busca de setores corrompidos e gera um relatório indicando se as configurações estão bloqueadas ou não. Também mostra aqueles que foram modificados.

É importante observar que a estrutura não é de forma alguma suficiente para prevenir ataques e é apenas uma ferramenta de diagnóstico.

2. Habilite o TPM

A ativação do Trusted Platform Module (TPM) no BIOS após a compra de uma nova máquina aumenta a segurança. O recurso valida a integridade do hardware por meio de hashing criptográfico.

Ele verifica se o registro mestre de inicialização (MBR) e os hashes de configuração da ROM opcional correspondem ao valor esperado. Resolver para o valor esperado significa que seus códigos não foram adulterados.

3. Use máquinas com Intel BootGuard

É melhor usar um computador com Intel BootGuard habilitado. Muitos computadores modernos vêm com esse recurso. Impede que a máquina dependa de imagens de firmware não assinadas. Como o TPM, ele também depende de um protocolo de hashing algorítmico para verificar as informações.

4. Ativando o Windows Defender System Guard no Windows 10

O Windows Defender System Guard no Windows 10 tem um recurso que impede ataques de firmware, garantindo uma inicialização segura por meio de atestado baseado em hipervisor e Raiz Dinâmica de Confiança (DRTM). O Windows 10 também tem um mecanismo de verificação UEFI que verifica se há malware de firmware.

O scanner compara percepções de fabricantes de chipset para garantir a integridade e é uma extensão do Microsoft Defender ATP.

As soluções de firmware e malware estão cada vez melhores

Os fabricantes de PC estão começando a prestar mais atenção ao malware de firmware, especialmente porque esse grupo de ameaças tem a capacidade de infectar redes inteiras. Gigantes da tecnologia, como a Microsoft, também estão começando a assumir um papel proativo, fornecendo soluções fáceis de mitigação.

A Microsoft já possui uma classe de PCs especificamente equipados para evitar ataques de firmware. Chamados de PCs Secured-core, eles vêm com proteção em nível de kernel possibilitada por segurança baseada em virtualização (VBS), integridade de código de hipervisor do Windows (HVCI) e medição de raiz dinâmica de confiança (DRTM).

Empresas de segurança online, como Kaspersky e ESET, também estão resistindo e agora têm seus próprios scanners UEFI.