Conti の置きみやげ:Intel ファームウェアを標的とするスティルス攻撃が消えない

Conti ransomware targeted Intel firmware for stealthy attacks

2022/06/02 BleepingComputer — Conti ランサムウェアから流出したチャットを分析した研究者たちは、ロシアのサイバー犯罪グループ内のチームが、ファームウェアのハッキングを積極的に行ってきたことを発見した。このサイバー犯罪シンジケートのメンバーたちが交わしたメッセージによると、Conti の開発者は、Intel の Management Engine (ME) を活用してフラッシュを上書きし、System Management Mode (SMM) を実行させる PoC コードを作成していたことが判明した。

この Management Engine (ME) は、Micro OS を実行する Intel チップセット内の組み込みマイクロ・コントローラであり、帯域外サービスを提供している。Conti は、このコンポーネントをファジングし、文書化されていない関数やコマンドを見つけ出し、それらを悪用してきた。続いて Conti は、UEFI/BIOS ファームウェアをホストするフラッシュ・メモリにアクセスし、書き込み保護をバイパスし、侵害したシステム上で任意のコードを実行できた。

最終的な目標は、OS レベルのセキュリティ・ツールから、実質的には検出されない状態において、可能な限り高いシステム特権 (ring-0) で動作する、System Management Mode (SMM) インプラントを投下することにある。

Excerpt from the leaked chats (translated)
Excerpt from the leaked chats (translated) (Eclypsium)

この UEFI ファームウェアの欠陥を狙い、Conti の感染を支援した TrickBot モジュールとは対照的な発見があった。後に Conti グループが引き受けたのは、悪意のエンジニアが ME の未知の脆弱性を発見しようと努力した、結果であることが重要である。

ランサムウェアによるファームウェア攻撃

ファームウェア攻撃を行うランサムウェアの行為者は、まず、フィッシング/脆弱性悪用/サプライチェーン攻撃などの、一般的な経路で標的システムにアクセスする必要がある。ME の侵害に成功した攻撃者は、ME の実装/制限/保護などに応じて、どの「書き込み禁止保護」領域へのアクセスが許可されているかを調べ、攻撃計画を立てる必要がある。Eclypsium によると、その道筋は、SPI Descriptor を上書きして UEFI/BIOS を保護領域外に移動させるアクセス、もしくは、BIOS 領域への直接アクセスのいずれかになるとのことだ。

Using ME to access non-protected BIOS regions
Using ME to access non-protected BIOS regions (Eclypsium)

この場合、脅威者は Intel の Management Engine を悪用し、仮想メディアからのブートを強制し、SPI コントローラを支える PCH 保護を解除することが可能となる。Conti は、この攻撃フローを利用して、システムを恒久的にブリック (レンガで隔てるイメージ) し、究極の永続性を獲得し、アンチウイルスおよび EDR 検出を回避し、OS 層における全セキュリティ制御をバイパスすることが可能となる。

Conti は消えたがコードは生きている

Conti の活動は停止したように見えるが、メンバーの多くは他のランサムウェア活動へと移行し、その攻撃は継続されている。つまり、流出したチャットから Eclypsium が発見したようなエクスプロイトを開発するような、すべての作業が存在し続けるという可能性も残っている。研究者たちの説明によると、昨年の夏から Conti は、これらの攻撃のための実用的な PoC を有していたようであり、すでに実際の攻撃で採用されたとも思われる。

ブランド名を変えた RaaS が復活するかもしれない。コアメンバーが他のランサムウェア作戦に参加するかもしれない。したがって、全体としてエクスプロイトが使われ続けることになるだろう。このような脅威から身を守るには、対象になりかねないハードウェアのファームウェア・アップデートを適用し、ME の設定変更を監視し、SPI フラッシュの整合性を定期的に確認することが必要となる。

このところの Conti の動きを、弱体化と見るのか、それとも、シンジケート化と見るのか、いろんな見解があるのだろうと思います。そのあたりについては、5月19日の「Conti ランサムウェアの解体と分散化:リブランドの状況と背景を探ってみた」を、ご参照ください。また、Intel に関しては、2021年11月15日の「Intel の脆弱性 CVE-2021-0146 は Note PC から IoT にまで影響をおよぼす」、2022年2月17日の「Intel の Software/Firmware がアップデート:18 件の深刻な脆弱性が FIX」などがあります。よろしければ、合わせて ご参照ください。

%d bloggers like this: