Conti泄密显示勒索软件团伙对基于固件的攻击感兴趣

对臭名昭著的Conti勒索软件集团今年早些时候泄露的聊天记录进行的分析显示，该集团一直在研究一套固件攻击技术，该技术可以提供访问受损设备上特权代码的途径。

固件和硬件安全公司Eclypsium在与《黑客新闻》分享的一份报告中表示：“对固件的控制使攻击者拥有几乎无与伦比的能力，可以直接造成损害，也可以实现其他长期战略目标。”

“这样的访问级别将允许对手对系统造成无法弥补的损坏，或建立操作系统几乎看不见的持续性。”

具体而言，这包括针对嵌入式微控制器的攻击，如Intel Management Engine（ME），这是一种特权组件，是该公司处理器芯片组的一部分，可以完全绕过操作系统。

值得注意的是，这种不断演变的关注点并不是因为Intel芯片组中存在新的安全漏洞，而是因为“组织不会像更新软件甚至UEFI/BIOS系统固件那样定期更新芯片组固件。”

Conti成员之间的对话在该组织承诺支持俄罗斯入侵乌克兰后泄露，这说明该集团试图挖掘ME固件和BIOS写保护相关漏洞。

这需要在ME接口中查找未记录的命令和漏洞，在ME中实现代码执行以访问和重写SPI闪存，并放弃系统管理模式（SMM）级的植入，甚至可以利用这些植入来修改内核。

泄漏的聊天记录显示，这项研究最终在2021 6月以概念验证（PoC）代码的形式表现出来，该代码可以在通过网络钓鱼、恶意软件或供应链泄露等传统载体获得主机的初始访问权限后，通过获得对ME的控制来获得SMM代码的执行。

研究人员表示：“通过将重点转移到Intel ME以及BIOS写保护的目标设备，攻击者可以轻松找到更多可用的目标设备。”

还不止这些。还可以利用对固件的控制来获得长期持久性，规避安全解决方案，并造成不可修复的系统损坏，从而使威胁行为人能够发动破坏性攻击，正如俄罗斯和乌克兰战争期间所目睹的那样。

研究人员表示：“Conti泄密事件暴露出一种战略转变，使得固件攻击更加远离传统安全工具的窥视。”

“向 ME 固件的转变为攻击者提供了更多的潜在受害者进行攻击，并为获得现代系统上可用的最高特权代码和执行模式提供了新途径。”