Udostępnij za pośrednictwem


Skanowanie INTERFEJSU UEFI w usłudze Defender dla punktu końcowego

Ostatnio Ochrona punktu końcowego w usłudze Microsoft Defender rozszerzyć swoje możliwości ochrony do poziomu oprogramowania układowego za pomocą nowego skanera ujednoliconego interfejsu UEFI (Extensible Firmware Interface).

Ataki na poziomie sprzętu i oprogramowania układowego nadal rosły w ostatnich latach, ponieważ nowoczesne rozwiązania w zakresie zabezpieczeń utrudniały trwałość i wykrywanie oszustw w systemie operacyjnym. Osoby atakujące naruszają przepływ rozruchu, aby osiągnąć trudne do wykrycia zachowanie złośliwego oprogramowania niskiego poziomu, co stanowi znaczne zagrożenie dla stanu bezpieczeństwa organizacji.

Usługa Windows Defender System Guard pomaga w obronie przed atakami oprogramowania układowego, zapewniając gwarancje bezpiecznego rozruchu za pośrednictwem funkcji zabezpieczeń opartych na sprzęcie, takich jak zaświadczanie na poziomie funkcji hypervisor i bezpieczne uruchamianie, znane również jako dynamiczne źródło zaufania (DRTM), które są domyślnie włączone na komputerach zabezpieczonych rdzeni. Nowy aparat skanowania UEFI w usłudze Defender for Endpoint rozszerza te zabezpieczenia, udostępniając szeroko dostępne skanowanie oprogramowania układowego.

Skaner UEFI to nowy składnik wbudowanego rozwiązania antywirusowego w Windows 10 i nowszych wersjach oraz zapewnia usłudze Defender for Endpoint unikatową możliwość skanowania wewnątrz systemu plików oprogramowania układowego i przeprowadzania oceny zabezpieczeń. Integruje ona szczegółowe informacje od naszych partnerów producentów chipsetów i rozszerza kompleksową ochronę punktów końcowych zapewnianą przez usługę Defender for Endpoint.

Wymagania wstępne

Co to jest skaner UEFI?

Ujednolicony rozszerzalny interfejs oprogramowania układowego (UEFI) zastępuje starszy system BIOS. Jeśli chipset jest poprawnie skonfigurowany (uefi & samej konfiguracji chipsetu) i jest włączony bezpieczny rozruch , oprogramowanie układowe jest w miarę bezpieczne. Aby przeprowadzić atak sprzętowy, osoby atakujące wykorzystują wrażliwe oprogramowanie układowe lub źle skonfigurowaną maszynę do wdrożenia zestawu rootkit, co pozwala osobom atakującym zdobyć przyczółek na maszynie.

Zrzut ekranu przedstawiający oczekiwany przepływ rozruchu a przepływ rozruchu z naruszonymi zabezpieczeniami

Jak pokazano na rysunku, w przypadku urządzeń, które są poprawnie skonfigurowane, ścieżka rozruchu z dodatku power-on do inicjowania systemu operacyjnego jest niezawodna. Jeśli bezpieczny rozruch jest wyłączony lub jeśli chipset płyty głównej jest nieprawidłowo skonfigurowany, osoby atakujące mogą zmienić zawartość sterowników UEFI, które nie są podpisane lub zostały naruszone w oprogramowaniu układowym. Może to umożliwić osobom atakującym przejęcie kontroli nad urządzeniami i przyznanie im możliwości pozbawienia jądra systemu operacyjnego lub oprogramowania antywirusowego w celu ponownego skonfigurowania zabezpieczeń oprogramowania układowego.

Inicjowanie platformy UEFI

Lampa flash szeregowego interfejsu peryferyjnego (SPI) przechowuje ważne informacje. Jego struktura zależy od projektu producenta OEM i często obejmuje aktualizację mikrokodu procesora, aparat zarządzania Intel (ME) i obraz rozruchowy, plik wykonywalny UEFI. Po uruchomieniu komputera procesory wykonują kod oprogramowania układowego z lampy błyskowej SPI przez pewien czas w fazie SEC interfejsu UEFI. Zamiast pamięci lampa błyskowa jest trwale mapowana na wektor resetowania x86 (adres fizyczny 0xFFFF_FFF0). Jednak osoby atakujące mogą zakłócać dostęp do pamięci w celu zresetowania wektora przez oprogramowanie. Robią to przez przeprogramowanie rejestru kontroli SYSTEMU BIOS na błędnie skonfigurowanych urządzeniach, co jeszcze bardziej utrudnia oprogramowaniu zabezpieczającemu określenie dokładnie tego, co jest wykonywane podczas rozruchu.

Po wdrożeniu implantu trudno go wykryć. Aby przechwytywać zagrożenia na tym poziomie, rozwiązania zabezpieczeń na poziomie systemu operacyjnego polegają na informacjach z oprogramowania układowego, ale łańcuch zaufania jest osłabiony.

Technicznie oprogramowanie układowe nie jest przechowywane i nie jest dostępne z pamięci głównej. W przeciwieństwie do innego oprogramowania jest ono przechowywane w pamięci flash SPI, więc nowy skaner UEFI musi być zgodny z protokołem sprzętowym dostarczonym przez producentów sprzętu. Aby być zgodnym i być na bieżąco ze wszystkimi platformami, należy wziąć pod uwagę różnice w protokołach.

Zrzut ekranu przedstawiający omówienie wewnętrznych elementów skanera UEFI

Skaner UEFI wykonuje dynamiczną analizę oprogramowania układowego pobieranego ze sprzętowego magazynu flash. Dzięki uzyskaniu oprogramowania układowego skaner może przeanalizować oprogramowanie układowe, umożliwiając usłudze Defender for Endpoint sprawdzanie zawartości oprogramowania układowego w czasie wykonywania.

Jak włączyć skaner UEFI?

Nowy skaner UEFI jest składnikiem programu antywirusowego Microsoft Defender, dlatego tak długo, jak jest to podstawowa usługa av, obejmuje tę możliwość skanowania i uzyskiwania dostępu do oprogramowania układowego UEFI.

Jak zarządzać skanerem UEFI?

Jest to wbudowana funkcja programu antywirusowego Microsoft Defender. W związku z tym nie ma dodatkowego zarządzania.

Jak działa skaner UEFI w usłudze Defender for Endpoint?

Nowy skaner UEFI odczytuje system plików oprogramowania układowego w czasie wykonywania przez interakcję z chipsetem płyty głównej. Aby wykrywać zagrożenia, przeprowadza analizę dynamiczną przy użyciu wielu nowych składników rozwiązania, które obejmują:

  • Anty-rootkit UEFI, który dociera do oprogramowania układowego za pośrednictwem szeregowego interfejsu peryferyjnego (SPI)
  • Pełny skaner systemu plików, który analizuje zawartość wewnątrz oprogramowania układowego
  • Aparat wykrywania, który identyfikuje luki w zabezpieczeniach i złośliwe zachowania

Skanowanie oprogramowania układowego jest aranżowane przez zdarzenia środowiska uruchomieniowego, takie jak podejrzane obciążenie sterownika i okresowe skanowania systemu. Wykrycia są zgłaszane w Zabezpieczenia Windows w obszarze Historia ochrony.

Zrzut ekranu przedstawiający Zabezpieczenia Windows powiadomienia o złośliwej zawartości w pamięci NVRAM

Klienci usługi Defender for Endpoint mogą wyświetlać te wykrycia jako alerty w portalu Microsoft Defender, umożliwiając zespołom ds. operacji zabezpieczeń badanie i reagowanie na ataki oprogramowania układowego i podejrzane działania na poziomie oprogramowania układowego w swoich środowiskach.

Zrzut ekranu przedstawiający alert usługi Defender for Endpoint wykrywający złośliwy kod

Aby wykryć nieznane zagrożenia w lampie błyskowej SPI, sygnały ze skanera UEFI są analizowane w celu zidentyfikowania anomalii i miejsca ich wykonania. Anomalie są zgłaszane do portalu Microsoft Defender w celu zbadania.

Zrzut ekranu przedstawiający alert usługi Defender for Endpoint dotyczący implantu złośliwego oprogramowania w interfejsie UEFI

Te zdarzenia można również wykonywać za pośrednictwem zaawansowanego wyszukiwania zagrożeń, jak pokazano poniżej:

let AlertStats = AlertInfo
| where Timestamp > ago(30d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus"
| where Title has "UEFI"
| join AlertEvidence on AlertId;
AlertStats
| join DeviceInfo on DeviceId
| distinct DeviceName, DeviceId, AlertId, Title, Severity, DetectionSource, Timestamp
| summarize Titles=makeset(Title) by DeviceName, DeviceId, bin(Timestamp, 1d)

Kompleksowe poziomy zabezpieczeń w górę dzięki zabezpieczeniam niskiego poziomu

Nowy skaner UEFI dodaje do bogatego zestawu technologii firmy Microsoft, które integrują się w celu zapewnienia bezpieczeństwa chip-to-cloud, od silnego sprzętu głównego zaufania do rozwiązań zabezpieczeń opartych na chmurze na poziomie systemu operacyjnego.

Funkcje zabezpieczeń wspierane przez sprzęt, takie jak bezpieczne uruchamianie i zaświadczanie urządzeń, pomagają zatrzymać ataki oprogramowania układowego. Te funkcje, które są domyślnie włączone na komputerach zabezpieczonych rdzeni, bezproblemowo integrują się z usługą Defender for Endpoint w celu zapewnienia kompleksowej ochrony punktów końcowych.

Dzięki skanerowi UEFI usługa Defender for Endpoint uzyskuje jeszcze bogatszy wgląd w zagrożenia na poziomie oprogramowania układowego, na którym osoby atakujące coraz bardziej skupiają swoje wysiłki. Zespoły ds. operacji zabezpieczeń mogą korzystać z tego nowego poziomu widoczności wraz z bogatym zestawem możliwości wykrywania i reagowania w usłudze Defender for Endpoint w celu zbadania i powstrzymania takich zaawansowanych ataków.

Ten poziom widoczności jest również dostępny w portalu Microsoft Defender, który zapewnia jeszcze szerszą ochronę między domenami, która koordynuje ochronę między punktami końcowymi, tożsamościami, pocztą e-mail i aplikacjami.