«

»

Nov 12

Artículo: Escaneo de UEFI, una forma de combatir al malware persistente

 Artículo publicado por nuestros compañeros de welivesecurity. Interesante y práctico. 

https://www.welivesecurity.com/la-es/2017/11/10/escaneo-de-uefi-combatir-malware-persistente/

 En líneas generales, un escaneo de UEFI te ayuda a proteger tu computadora de quienes intenten tomar el control de ella abusando de su interfaz de firmware extensible unificada (UEFI).

Un ataque exitoso a este componente puede darle al atacante el control total del sistema, incluida la persistencia: la capacidad de mantener en secreto el acceso no autorizado a la máquina a pesar de reiniciar y/o formatear el disco duro.

Como te puedes imaginar, esta forma de persistencia no es una virtud y puede prolongar la inconveniencia de una infección de código malicioso.

Si tu software de seguridad solo analiza las unidades y la memoria, sin escanear UEFI, podrías pensar que tienes una máquina limpia cuando no es cierto. Por eso, recomendamos una solución de seguridad que sí lo escanee, como ESET.

¿Por qué mi dispositivo tiene un UEFI?

UEFI scanner

Los dispositivos informáticos funcionan mediante la ejecución de código: las instrucciones que llamamos software y hacen que el hardware, como una computadora portátil o un teléfono inteligente, haga algo útil.

El código se puede enviar al dispositivo de varias maneras. Por ejemplo, puede leerse desde el almacenamiento en un disco, mantenerse en la memoria o entregarse a través de una conexión de red. Pero cuando enciendes un dispositivo digital, tiene que comenzar en alguna parte (el arranque), y esa primera pieza de código generalmente se almacena en un chip en el dispositivo.

Este código, conocido como firmware, puede incluir una “autoprueba de encendido” (“power-on self-test” o POST) para asegurarse de que las cosas funcionen correctamente, seguida de la carga en la memoria de las instrucciones básicas para manejar la entrada y la salida.

NO SABEMOS CUÁNDO APARECERÁ UNA CAMPAÑA DE MALWARE QUE ABUSE DE UEFI DE MANERA MASIVA

Si te has interesado en las computadoras por un tiempo, es posible que reconozcas este código basado en chips como BIOS o Basic Input Output System. De hecho, la tecnología BIOS se remonta a la década de 1970, por lo que no es de extrañar que finalmente tenga problemas para satisfacer las demandas de las computadoras de hoy en día, un comentario hecho por mi colega, Cameron Camp, en este excelente artículo sobre el escaneo de UEFI. Como detalla Cameron, la tecnología UEFI ha evolucionado para reemplazar el BIOS, aunque algunos dispositivos todavía se refieren a él como BIOS.

Técnicamente, UEFI es una especificación, mantenida por el Unified Extensible Firmware Interface Forum (uefi.org). Según el foro, la especificación define un nuevo modelo para la interfaz entre los sistemas operativos de la computadora personal y el firmware de la plataforma, y consiste en:

“Tablas de datos que contienen información relacionada con la plataforma, además de llamadas de servicio de arranque y tiempo de ejecución que están disponibles para el sistema operativo y su gestor de arranque o boot loader“.

Sin entrar en mayores detalles técnicos, UEFI añadió una gran cantidad de funcionalidad al proceso de arranque, incluidas algunas medidas de seguridadserias (estas se discuten en el white paper de ESET al que hace referencia este artículo).

Desafortunadamente, los beneficios ilícitos de la creación de un código que subrepticiamente puede tomar el control de un sistema al principio del proceso de arranque, denominado genéricamente bootkit, son un poderoso motivador para las personas que se especializan en el acceso no autorizado a dispositivos digitales.

Tales personas podrían ser: ciberdelincuentes, agencias nacionales y extranjeras como NSA y CIA, y compañías privadas que venden “herramientas de vigilancia” a los gobiernos.

Para obtener más detalles, consulta el excelente artículo de mi colega de ESET, Cassius Puodzius, que analiza estos “actores” detrás de las amenazas y su interés en UEFI. Asimismo, el investigador senior de ESET cubrió extensivamente el tema más amplio de la evolución del bootkit desde los primeros díashasta el año 2012, y también puedes consultar el documento “Bootkits, pasado, presente y futuro”, presentado en Virus Bulletin 2014. Por supuesto, hay muchos documentos técnicos en el sitio del Foro UEFI.

Entonces, ¿cuál es el riesgo para tu UEFI?

Para la mayoría de las personas, la respuesta correcta dependerá de quién sean. Por ejemplo, ¿eres alguien cuya computadora podría ser de interés para la NSA o la CIA u otra entidad gubernamental que tenga los recursos para invertir en código que abuse de UEFI, ya sea su propio código o un producto de vigilancia comercial comprado a un proveedor comercial?

¿Estás usando tu computadora para desarrollar, revisar o manejar propiedad intelectual que vale la pena robar? Si respondiste afirmativamente a cualquiera de esas preguntas, diría que tienes un riesgo superior al promedio de encontrarte con malware para UEFI.

Actualmente, no tengo conocimiento de ninguna campaña de malware criminal a gran escala y de gran alcance que explote a UEFI para atacar los sistemas informáticos del público en general (si conoces alguna, comparte el dato, por favor).

Sin embargo, incluso si no estás en una categoría de alto riesgo, pienso que igualmente necesitas un software de seguridad con capacidad de escaneo de UEFI. ¿Por qué? ¿Recuerdas esas agencias de tres letras que han estado desarrollando ataques UEFI? Bueno, no tienen una reputación estelar por mantener sus herramientas en secreto.

De hecho, la mayor novedad en malware en lo que va de año ha sido WannaCryptor o WannaCry, y una razón por la que ese ransomware en particular se propagó tan rápido fue porque usaba un exploit “ultra secreto” desarrollado por la NSA, una agencia conocida por haber incursionado en el compromiso de UEFI.

En otras palabras, simplemente no sabemos cuándo una nueva campaña de malware que abuse de UEFI para mantener la persistencia en sistemas comprometidos aparecerá in the wild. Lo que puedo decir es que las personas que realizan escaneo de UEFI de forma regular estarán mejor preparadas para proteger sus sistemas que las personas que no lo hacen. Y de eso se trata el escaneo de UEFI.

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático y Perito Judicial Informático Forense inscrito con el nº 382 a la ANTPJI. Miembro de la Asociación STOP! Violencia de Género Digital. **Profesional del campo de la Informática desde el año 1990, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............
A %d blogueros les gusta esto: