Поделиться через

Проверка UEFI в Defender для конечной точки

  • Статья

Недавно Microsoft Defender для конечной точки расширила свои возможности защиты до уровня встроенного ПО с помощью нового сканера UEFI.

В последние годы продолжается рост атак на уровне оборудования и встроенного ПО, так как современные решения безопасности усложняют сохраняемость и уклонение от обнаружения в операционной системе. Злоумышленники компрометирует поток загрузки, чтобы обеспечить низкоуровневое поведение вредоносных программ, которое трудно обнаружить, что создает значительный риск для безопасности организации.

System Guard Защитника Windows помогает защититься от атак встроенного ПО, предоставляя гарантии безопасной загрузки с помощью аппаратных функций безопасности, таких как аттестация на уровне гипервизора и безопасный запуск, также известный как динамический корень доверия (DRTM), которые включены по умолчанию на защищенных основных компьютерах. Новый модуль проверки UEFI в Defender для конечной точки расширяет эти средства защиты, делая сканирование встроенного ПО широко доступным.

Сканер UEFI — это новый компонент встроенного антивирусного решения в Windows 10 и более новых версиях, который предоставляет Defender для конечной точки уникальную возможность сканировать внутри файловой системы встроенного ПО и выполнять оценку безопасности. Он интегрирует аналитические сведения от наших партнеров производителей наборов микросхем и расширяет комплексную защиту конечных точек, предоставляемую Defender для конечной точки.

Предварительные условия

Что такое сканер UEFI?

Единый расширяемый интерфейс встроенного ПО (UEFI) является заменой устаревших BIOS. Если набор микросхем настроен правильно (UEFI & конфигурацию набора микросхем) и включена безопасная загрузка , встроенное ПО будет достаточно безопасным. Чтобы выполнить аппаратную атаку, злоумышленники используют уязвимое встроенное ПО или неправильно настроенный компьютер для развертывания rootkit, что позволяет злоумышленникам закрепиться на компьютере.

Снимок экрана: ожидаемый поток загрузки и скомпрометированный поток загрузки

Как показано на рисунке, для устройств, которые настроены правильно, путь загрузки от включения питания до инициализации ОС является надежным. Если безопасная загрузка отключена или набор микросхем системной платы настроен неправильно, злоумышленники могут изменить содержимое драйверов UEFI, которые не подписаны или изменены в встроенном ПО. Это может позволить злоумышленникам взять на себя контроль над устройствами и предоставить им возможность лишать ядра операционной системы или антивирусной программы, чтобы перенастроить безопасность встроенного ПО.

Инициализация платформы UEFI

Во флэш-памяти последовательного периферийного интерфейса (SPI) хранятся важные сведения. Его структура зависит от конструкции oem и обычно включает обновление микрокода процессора, обработчик управления Intel (ME) и загрузочный образ, исполняемый файл UEFI. При запуске компьютера процессоры некоторое время выполняют код встроенного ПО из вспышки SPI на этапе SEC UEFI. Вместо памяти флэш-память постоянно сопоставляется с вектором сброса x86 (физический адрес 0xFFFF_FFF0). Однако злоумышленники могут помешать доступу к памяти для сброса вектора программного обеспечения. Они делают это путем перепрограммирования регистра управления BIOS на неправильно настроенных устройствах, что еще больше усложняет для программного обеспечения безопасности определение того, что именно выполняется во время загрузки.

После развертывания имплантата его трудно обнаружить. Для перехвата угроз на этом уровне решения безопасности на уровне ОС полагаются на информацию из встроенного ПО, но цепочка доверия ослабевает.

Технически встроенное ПО не хранится и недоступно из main памяти. В отличие от другого программного обеспечения, оно хранится в хранилище флэш-памяти SPI, поэтому новый сканер UEFI должен соответствовать аппаратному протоколу, предоставленному производителями оборудования. Чтобы быть совместимым и актуальным со всеми платформами, необходимо учитывать различия в протоколах.

Снимок экрана: обзор внутренних компонентов сканера UEFI

Сканер UEFI выполняет динамический анализ встроенного ПО, полученного из аппаратного флэш-хранилища. Получив встроенное ПО, сканер может проанализировать встроенное ПО, что позволяет Defender для конечной точки проверять содержимое встроенного ПО во время выполнения.

Как включить сканер UEFI?

Новый сканер UEFI является компонентом антивирусной программы Microsoft Defender. Таким образом, при условии, что он является основным антивирусом, он включает в себя эту возможность для сканирования встроенного ПО UEFI и доступа к нему.

Как управлять сканером UEFI?

Это встроенная функция антивирусной программы Microsoft Defender. Таким образом, отсутствует дополнительное управление.

Как работает сканер UEFI в Defender для конечной точки?

Новый сканер UEFI считывает файловую систему встроенного ПО во время выполнения, взаимодействуя с набором микросхем системной платы. Для обнаружения угроз он выполняет динамический анализ с использованием нескольких новых компонентов решения, которые включают в себя:

  • UEFI anti-rootkit, который достигает встроенного ПО через последовательный периферийный интерфейс (SPI)
  • Сканер полной файловой системы, который анализирует содержимое внутри встроенного ПО
  • Подсистема обнаружения, которая определяет эксплойты и вредоносное поведение.

Сканирование встроенного ПО оркестрируется событиями среды выполнения, такими как подозрительная загрузка драйвера, и периодическими проверками системы. Об обнаружении сообщается в Безопасность Windows в разделе Журнал защиты.

Снимок экрана: Безопасность Windows уведомление о вредоносном содержимом в NVRAM

Клиенты Defender для конечной точки могут видеть эти обнаружения в виде оповещений на портале Microsoft Defender, что позволяет командам по операциям безопасности исследовать атаки на встроенное ПО и подозрительные действия на уровне встроенного ПО в своих средах и реагировать на них.

Снимок экрана: оповещение Defender для конечной точки, обнаруживающее вредоносный код

Чтобы обнаружить неизвестные угрозы во вспышке SPI, сигналы от сканера UEFI анализируются для выявления аномалий и места их выполнения. Об аномалиях сообщается на портале Microsoft Defender для исследования.

Снимок экрана: оповещение Defender для конечной точки для внедрения вредоносных программ в UEFI

Эти события также можно запрашивать с помощью расширенной охоты, как показано ниже:

let AlertStats = AlertInfo
| where Timestamp > ago(30d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus"
| where Title has "UEFI"
| join AlertEvidence on AlertId;
AlertStats
| join DeviceInfo on DeviceId
| distinct DeviceName, DeviceId, AlertId, Title, Severity, DetectionSource, Timestamp
| summarize Titles=makeset(Title) by DeviceName, DeviceId, bin(Timestamp, 1d)

Комплексные уровни безопасности с низким уровнем защиты

Новый сканер UEFI дополняет широкий набор технологий Майкрософт, которые интегрируются для обеспечения безопасности от микросхемы в облако, от надежного аппаратного корня доверия до облачных решений безопасности на уровне ОС.

Аппаратные функции безопасности, такие как безопасный запуск и аттестация устройств, помогают предотвратить атаки на встроенное ПО. Эти функции, включенные по умолчанию на компьютерах с защищенными ядрами, легко интегрируются с Defender для конечной точки, чтобы обеспечить комплексную защиту конечных точек.

Благодаря сканеру UEFI Defender для конечной точки получает еще большую видимость угроз на уровне встроенного ПО, где злоумышленники все больше сосредотачиваются на своих усилиях. Команды по операциям безопасности могут использовать этот новый уровень видимости, а также широкий набор возможностей обнаружения и реагирования в Defender для конечной точки, чтобы исследовать и сдерживать такие сложные атаки.

Этот уровень видимости также доступен на портале Microsoft Defender, который обеспечивает еще более широкую защиту между доменами, которая координирует защиту между конечными точками, удостоверениями, электронной почтой и приложениями.