UEFI: aprendizado mecânico para detectar ameaças da ESET

Embora a UEFI (Unified Extensible Firmware Interface) tenha sido um grande problema nos últimos anos, até agora, devido a várias restrições, a detecção de malware que o ameaça é limitada a um número muito pequeno de casos.

Os especialistas da ESET, depois de localizarem o primeiro rootkit UEFI, conhecido como LoJax, “em estado selvagem”, queriam criar um sistema que lhes permitisse investigar o enorme setor UEFI e descobrir ameaças emergentes e desconhecidas, de maneira confiável e confiável. eficaz.UEFI

Malwares como o LoJax raramente sĂŁo encontrados – existem milhões de arquivos UEFI executáveis ​​”em estado selvagem” e apenas uma pequena porcentagem deles Ă© maliciosa. “Somente nos Ăşltimos dois anos, descobrimos mais de 2,5 milhões de arquivos executáveis ​​UEFI exclusivos, de um total de 6 bilhões”, explica o engenheiro de software da ESET Filip Mazán, responsável pelo desenvolvimento do sistema de aprendizado de máquina.

Com base nos dados de telemetria coletados pelo detector UEFI da ESET, os especialistas em aprendizado de máquina, em colaboração com os pesquisadores de malware da empresa, projetaram um sistema de processamento de dados personalizado para arquivos UEFI executáveis, que detectam dados incomuns nas amostras recebidas. aprendizado mecânico.

“Para reduzir o nĂşmero de amostras que requerem atenção humana, decidimos desenvolver um sistema que, identificando recursos incomuns em arquivos executáveis ​​da UEFI, traga Ă  superfĂ­cie amostras com comportamento informal”, diz Mazán.

Para determinar a viabilidade desse mĂ©todo, os pesquisadores analisaram o sistema resultante em conhecidos arquivos UEFI suspeitos e executáveis ​​com cĂłdigos maliciosos que nĂŁo haviam sido incluĂ­dos anteriormente em todos os dados – especialmente o driver UEFI da LoJax. O sistema concluiu que o driver LoJax diferia de uma maneira sem precedentes.

“Este teste bem-sucedido oferece um nĂ­vel de credibilidade que, se uma ameaça semelhante Ă  UEFI ocorrer, poderemos identificá-la como incomum, analisá-la imediatamente e criar um sistema de detecção apropriado”, afirmou Mazán.

Essa abordagem do aprendizado de máquina, além dos poderosos recursos de detecção de arquivos UEFI executáveis ​​de forma suspeita, também reduz a carga de trabalho dos analistas da ESET em 90% (em comparação com a análise de cada amostra recebida).

À medida que cada novo arquivo UEFI executável de entrada é adicionado ao conjunto de dados, processado, customizado e considerado para amostras de entrada subsequentes, a solução fornece monitoramento UEFI em tempo real.

Usando esse sistema para detectar ameaças UEFI, os pesquisadores da ESET descobriram muitos elementos UEFI interessantes que podem ser divididos em duas categorias: backdoors de firmware UEFI e módulos de persistência no nível do SO.

“Embora o sistema de processamento de arquivos executáveis ​​da UEFI ainda nĂŁo tenha levado Ă  descoberta de novos malwares, os resultados alcançados atĂ© agora sĂŁo encorajadores”, disse Jean-Ian Boutin, pesquisador sĂŞnior de malware da ESET.

A descoberta mais notável é o backdoor ASUS: um backdoor de firmware UEFI encontrado em vários laptops ASUS, que foi reparado pela ASUS após a atualização ESET relevante.

Mais informações sobre essa pesquisa da ESET podem ser encontradas na postagem do blog “Agulhas no palheiro: escolhendo componentes UEFI indesejados dentre milhões de amostras de amostras” no WeLiveSecurity.com.

_______________________