2022/07/27

Rootkit UEFI CosmicStrand resiste à reinstalação do sistema

Investigadores da Kaspersky analisaram o funcionamento do rootkit CosmicStrand, que infecta a UEFI e permite manter o controlo do sistema mesmo que se faça a reinstalação do sistema.

Os rootkits fazem parte dos mais assustadores tipo de software quando são utilizados para aplicações nefastas. O nome designa um processo que tem o nível de privilégios máximos no sistema, ao ponto de se conseguir esconder dos utilizadores e dos eventuais processos de antivírus: as suas permissões permitem-lhe chegar ao ponto de, se um utilizador pedir para ver os ficheiros numa pasta, esconder os ficheiros maliciosos, ou fazer o mesmo para os processos em execução ou blocos de memória que utiliza. Mas, há algo ainda pior.

Pior que um rootkit por software é um rootkit no firmware. Este CosmicStrand é um rootkit que se consegue infiltrar na UEFI dos computadores, e a partir desse momento desencadeia uma sequência de operações, infectando algumas funções críticas de forma progressiva, de modo a conseguir manter o controlo total sobre o sistema operativo durante o processo de boot.

A grande vantagem face aos rootkits por software, é que esses podem ser eliminados em caso de se reinstalar o sistema operativo de raiz; mas neste caso, mantendo-se na UEFI, o rootkit permanece a salvo de qualquer reinstalação ou troca de SSD, voltando a infectar o sistema a cada novo boot, independentemente do que o utilizador tiver feito.
Mais assustador, é que estes rootkits via firmware não são recentes, havendo variantes que foram descobertas em 2017. Tendo em conta que passam a controlar o sistema logo desde os primeiros momentos, a sua detecção torna-se extremamente difícil, e faz temer que possa existir um número considerável de sistemas infectados que passam completamente despercebidos, mas que poderão estar às ordens do grupo atacante a qualquer instante, para fazer aquilo que lhes for comandado para fazerem.

1 comentário:

  1. Muito fácil: instalem um bootloader na UEFI. Quando desaparecer, já sabem.

    ResponderEliminar