探索网络安全新技术
攀登黑客技术最高峰

技嘉应用中心后门带来的供应链风险(含技嘉后门检测工具)

技嘉应用中心后门带来的供应链风险(含技嘉后门检测工具)-威武网安

最近,Eclypsium平台开始在野外检测技嘉系统中可疑的类似后门的行为。这些检测由启发式检测方法驱动,这些方法在检测新的、以前未知的供应链威胁方面发挥着重要作用,其中合法的第三方技术产品或更新已受到损害。我们的后续分析发现,技嘉系统中的固件在系统启动过程中丢弃并执行Windows本机可执行文件,然后该可执行文件会下载并不安全地执行其他有效负载。

它使用与其他OEM后门类功能相同的技术,如Computrace后门(又名LoJack DoubleAgent),被威胁行为者甚至固件植入物(如Sednit LoJax,MosaicRegressor,Vector-EDK)滥用。随后的分析表明,数百种型号的技嘉PC中都存在相同的代码。我们正在与技嘉合作,以解决其应用中心功能的这种不安全实施。

为了保护组织免受恶意行为者的侵害,我们还以比典型漏洞披露更快的时间公开披露此信息和防御策略。

此后门似乎正在实现有意的功能,并且需要固件更新才能将其从受影响的系统中完全删除。虽然我们正在进行的调查尚未证实特定威胁行为者的利用,但难以移除的活跃的广泛后门会给拥有技嘉系统的组织带来供应链风险。在高级别上,相关的攻击媒介包括:

供应链中的妥协
在当地环境中妥协
通过系统中此固件的功能实现恶意软件持久性

下面提供了对这些风险的更详细分析,并提供了建议的缓解措施。在更传统的漏洞披露时间表之后,我们计划发布有关其工作原理的详细信息。

我们的发现有两个重要方面:

Eclypsium自动启发式检测技嘉系统上的固件会丢弃在Windows启动过程中执行的可执行Windows二进制文件。

此可执行二进制文件不安全地从互联网下载和执行额外的有效负载。

由于更多这样的问题不断被发现,Eclypsium不断对信息技术供应链进行大规模分析。

第 1 阶段:固件删除操作系统可执行文件

对受影响的 UEFI 固件的初步分析确定了以下文件:

8ccbee6f7858ac6b92ce23594c9e2563ebcef59414b5ac13ebebde0c715971b2.bin

这是一个 Windows 本机二进制文件可执行文件,嵌入在 UEFI 固件卷中的 UEFI 固件二进制文件中,具有以下 GUID:

AEB1671D-019C-4B3B-BA-00-35-A2-E6-28-04-36

此 Windows 可执行文件嵌入到 UEFI 固件中,并由固件写入磁盘,作为系统启动过程的一部分,这是 UEFI 植入和后门常用的技术。

在 UEFI 固件启动过程的驱动程序执行环境 (DXE) 阶段,“WpbtDxe.efi”固件模块使用上述 GUID 将嵌入的 Windows 可执行文件加载到内存中,将其安装到 WPBT ACPI 表中,该表稍后将在 Windows 启动时由 Windows 会话管理器子系统 (smss.exe) 加载和执行。

“WpbtDxe.efi”模块检查在将可执行文件安装到 WPBT ACPI 表之前,是否已在 BIOS/UEFI 安装程序中启用“APP Center Download & Install”功能。尽管默认情况下此设置似乎处于禁用状态,但它已在我们检查的系统上启用。

此可执行文件使用 Windows 本机 API 将嵌入式可执行文件的内容写入文件系统的以下位置:

%SystemRoot%\system32\GigabyteUpdateService.exe

然后,它将注册表项设置为将此可执行文件作为 Windows 服务运行。这里描述的机制类似于前面提到的其他UEFI固件植入物使用的方法,如LoJax,MosiacRegressor,MoonBounce和Vector-EDK。

第 2 阶段:下载并运行更多可执行文件

删除的Windows可执行文件是一个.NET应用程序。它从以下位置之一下载并运行可执行有效负载,具体取决于其配置方式:

http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://software-nas/Swhttp/LiveUpdate4

纯HTTP(上面的第一个项目符号)永远不应该用于更新特权代码,因为它很容易通过中间机器(MITM)攻击而受到损害。

但是,我们注意到,即使使用启用 HTTPS 的选项,远程服务器证书验证也无法正确实现。因此,在这种情况下,MITM也是可能的。

固件不会对可执行文件实施任何加密数字签名验证或任何其他验证。

丢弃的可执行文件和正常下载的技嘉工具确实具有满足Microsoft Windows代码签名要求的技嘉加密签名,但这对抵消恶意使用几乎没有作用,特别是如果使用Living-off-the-land技术被利用(如最近关于Volt Typhoon攻击者的警报)。因此,任何威胁参与者都可以使用它通过 MITM 或受感染的基础设施持续感染易受攻击的系统。

我们建议在使用技嘉系统或带有受影响主板的系统时要小心。组织还可以采取以下措施来最大程度地降低风险:

扫描和监控系统和固件更新,以检测受影响的技嘉系统和固件中嵌入的类似后门程序的工具。将系统更新到经过验证的最新固件和软件,以解决此类安全问题。

检查并禁用技嘉系统上UEFI/BIOS设置中的“APP中心下载和安装”功能,并设置BIOS密码以阻止恶意更改。

管理员还可以阻止以下 URL:

http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://software-nas/Swhttp/LiveUpdate4

安全检测脚本

https://github.com/CKevens/GIGABYTE-Backdoor-Detection

By: Eclypsium
Link:https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《技嘉应用中心后门带来的供应链风险(含技嘉后门检测工具)》
文章链接:https://www.wevul.com/1345.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 1

  1. #1

    666666 ∠( ᐛ 」∠)_

    小飞9个月前 (06-02)回复

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册