ESET Research ontdekt ESPecter, een UEFI-bootkit voor cyberspionage

Onderzoekers van ESET hebben een tot op heden niet gedocumenteerde echte UEFI-bootkit ontdekt die op de EFI-systeempartitie (ESP) blijft bestaan. De bootkit, die door ESET ESPecter werd genoemd, kan Windows Driver Signature Enforcement omzeilen om zijn eigen niet-ondertekende driver te laden, wat zijn spionageactiviteiten faciliteert.

BRATISLAVA — 5 oktober 2021 — Onderzoekers van ESET hebben een tot op heden niet gedocumenteerde echte UEFI-bootkit ontdekt die op de EFI-systeempartitie (ESP) blijft bestaan. De bootkit, die door ESET ESPecter werd genoemd, kan Windows Driver Signature Enforcement omzeilen om zijn eigen niet-ondertekende driver te laden, wat zijn spionageactiviteiten faciliteert. ESPecter is de tweede ontdekking van een UEFI-bootkit die op de ESP blijft bestaan en laat zien hoe echte UEFI-bedreigingen niet langer beperkt blijven tot SPI-flash implementatie zoals gebruikt door Lojax die in 2018 door ESET werd ontdekt.

ESPecter werd op een gecompromitteerd toestel ontdekt samen met een clientcomponent in de gebruikersmodus met functionaliteiten zoals keylogging en documentdiefstal. Daarom gelooft ESET Research dat ESPecter voornamelijk voor spionage gebruikt wordt.

“We hebben de wortels van deze dreiging kunnen traceren tot minstens 2012. Voordien werkte het als een bootkit voor systemen met legacy BIOSen. Ondanks het lange bestaan van ESPecter, zijn de werking en upgrades ervan naar UEFI onopgemerkt gebleven en zijn ze tot nu toe niet gedocumenteerd”, zegt ESET onderzoeker Anton Cherepanov, die de dreiging ontdekte en analyseerde samen met ESET-onderzoeker Martin Smolár.

“Tijdens de afgelopen jaren hebben we proof-of-concept voorbeelden gezien van UEFI-bootkits, gelekte documenten en zelfs gelekte broncode die het bestaan van echte UEFI-malware suggereert, in de vorm van SPI-flash of ESP implementatie. Ondanks dit alles zijn er slechts vier gevallen van UEFI-malware in de echte wereld ontdekt, waaronder ESPecter”, legt Cherepanov uit.

Door de ESET-telemetrie te analyseren, kon het team het begin van deze bootkit dateren tot minstens 2012. Wat interessant is, is dat de componenten van de malware in al die jaren nauwelijks veranderd zijn. De verschillen tussen de versies van 2012 en 2020 zijn niet zo groot als men zou verwachten. Na al die jaren van onbeduidende veranderingen, besloten de auteurs achter ESPecter hun malware van legacy BIOS-systemen naar moderne UEFI-systemen te verplaatsen.

De tweede payload die door ESPecter wordt ingezet is een backdoor die een uitgebreide reeks opdrachten ondersteunt en verschillende mogelijkheden bevat voor automatische gegevensexfiltratie, waaronder het stelen van documenten, keylogging en monitoring van het scherm van het slachtoffer door het nemen van periodiek screenshots. Alle verzamelde gegevens worden in een verborgen map opgeslagen.

“ESPecter laat zien dat auteurs vertrouwen op UEFI-firmware als het gaat om pre-OS persistentie en, ondanks de bestaande beveiligingsmechanismen zoals UEFI Secure Boot, hun tijd investeren in het creëren van malware die gemakkelijk door dergelijke mechanismen kan worden geblokkeerd, indien correct ingeschakeld en geconfigureerd,” verduidelijkt Smolár.

Om zich tegen ESPecter of soortgelijke bedreigingen te beschermen, adviseert ESET gebruikers deze eenvoudige regels te volgen: altijd de nieuwste firmwareversie gebruiken; ervoor zorgen dat het systeem correct geconfigureerd en Secure Boot ingeschakeld is; Privileged Accountmanagement configureren om te voorkomen dat booswichten toegang krijgen tot bevoorrechte accounts die nodig zijn voor het installeren van de bootkit.

Voor meer technische details over ESPecter, lees de blog “UEFI threats moving to the ESP: Introducing ESPecter bootkit” op www.welivesecurity. Volg ook ESET Research op Twitter voor het laatste nieuws over research.