ファームウェアマルウェアとは何ですか?どのようにして感染を防ぐことができますか?

ファームウェアマルウェアは永続的であり、特に検出が困難です。これは、感染チェーンが通常、リング0以上のアクセス権限を持つコンピューティングコンポーネントをターゲットにしているためです。制御特権は、一般的なコンピューターユーザーが制御する特権をはるかに超えており、ハードウェアとメモリの通信が交差しています。

ファームウェアへのアクセスにより、攻撃者はハードウェア応答、システムメモリ、およびインストールされているアプリケーションを変更できます。マルウェア攻撃は、Bluetooth、Wi-Fi、標準のインターネット接続など、さまざまなモードで実行される可能性があります。

ファームウェアマルウェアが非常に手ごわい理由

以下は、ファームウェアマルウェアを克服するのが非常に難しい理由のいくつかです。

1.マルウェアは通常のマルウェア対策ツールを回避できます

ファームウェアマルウェアには、特権の高いレイヤーを破壊する機能があります。セキュリティアプリケーションはファームウェア上で実行されているオペレーティングシステムによって制御されるため、侵害されたファームウェアを使用して、インストールされているすべてのソフトウェアにアクセスできます。ファームウェアの侵入により、悪意のあるエンティティが、感染したマシンのリモート管理を可能にするコードを埋め込むこともできます。

2.マルウェアは永続的です

ファームウェアマルウェアは、マシンを入手すると、根絶するのが非常に困難です。一時的な解決策(バーチャライザーの使用など)でさえ、セクター全体が同時に危険にさらされるのを防ぐことによって、短期間の猶予を提供するだけです。

オペレーティングシステムを変更してシステムを再イメージングしても、問題は解決しません。この問題を解決するには、通常、完全なファームウェアアップデートをお勧めします。極端な場合は、ハードウェアをアップグレードします。

3.マルウェアが起動前の操作を引き継ぐ

ファームウェアマルウェアは通常、システムが起動する前であっても、システムの運用制御を取得します。これは、ハードウェアと起動シーケンスプロトコルを制御するためです。

近年、かなりの数が、プラットフォームコントローラーハブにあるIntelチップセットのサブシステムであるIntel Manageability Engine(ME)をターゲットにしています。

管理エンジンは、コンピューターの電源がオフの場合でも動作します。完全にシャットダウンする唯一の方法は、コンピューターのプラグを抜くか、ラップトップの場合はバッテリーを取り外すことです。

そのため、MEシステムを標的とするファームウェアマルウェアは、検証シーケンスを経ることなくほぼ連続したサイクルで動作するため、検出が非常に困難になります。良いニュースは、成功したMEエクスプロイトを成功させるのは難しいということです。このような侵入が発生した場合、通常、国が後援するアクターが関与します。

一般的な攻撃ベクトル

基本入出力システム(BIOS)およびUnified Extensible Firmware Interface(UEFI)システムは、通常、ファームウェア攻撃の主要なベクトルです。感染は通常、ルートキットとブートキットを介して実行されます。

1.BIOSマルウェア攻撃

BIOSレベルのマルウェアは通常、BIOSコードを書き換え、悪意のあるコードを挿入します。 BIOSはハードドライブではなくメモリに配置されているため、このタイプのマルウェアは通常のウイルス対策では検出できません。

技術的には、BIOSの再プログラミングは、スーパーユーザーのみが実行できるタスクです。ほとんどのBIOSファームウェアコードは、シリアルペリフェラルインターフェイス(SPI)での編集をブロックすることにより、これを防ぐように設計されています。また、システム管理モード(SMM)とBIOSの相互作用を制限して、BIOSの整合性を維持しようとします。

システム管理モード(SMM)は、x86ベースのプロセッサに存在します。メモリ特権が高いため、ハッカーはオペレーティングシステムとファームウェアにアクセスするために使用します。

残念ながら、多くのファームウェアプロバイダーは、これらの機密領域に表面的なセキュリティセーフガードを適用するだけなので、悪意のあるエンティティによっていくつかの重要な変更を行うことができます。

2.UEFIファームウェアマルウェア

UEFIは、BIOSと同様に、コンピューターの起動時およびOSの起動前に実行されます。マザーボードに埋め込まれたチップで動作します。ファームウェアの攻撃者は通常、マシンを体系的に制御できるようにコードを変更しようとします。

続きを読む: UEFIとは何ですか?

一部のUEFI侵入マルウェアは、ハッカーがファームウェアを再プログラムできるようにするRWEverythingなどのツールの侵入バージョンを利用します。場合によっては、それらを利用してSPIコントローラーをハイジャックし、SPIコントローラーがUEFIを管理します。

多くの悪意のあるUEFIキットは、ロックが解除されているか書き込み保護されているかを分析することから始まります。 UEFIファームウェアは通常、書き込み保護されているはずですが、一部のベンダーはこのオプションを開いたままにします。これにより、ハッカーは独自のUEFIパッチを埋め込むことができます。

ファームウェア攻撃の防止

以下は、ファームウェアマルウェアを防止するために実行する必要のある緩和策の一部です。

1.侵害をスキャンします

システムがファームウェア攻撃を受けないようにするには、最初にBIOSまたはUEFIの整合性をチェックする必要があります。 CHIPSECフレームワークは、主要な推奨ツールの1つです。 BIOSをスキャンして破損したセクターを探し、構成がロックされているかどうかを示すレポートを生成します。また、変更されたものも表示されます。

フレームワークは攻撃を防ぐのに決して十分ではなく、単なる診断ツールであることに注意することが重要です。

2.TPMを有効にします

新しいマシンを購入した後にBIOSでトラステッドプラットフォームモジュール(TPM)を有効にすると、セキュリティが強化されます。この機能は、暗号化ハッシュを介してハードウェアの整合性を検証します。

マスターブートレコード(MBR)とオプションROM構成ハッシュが期待値と一致するかどうかをチェックします。期待値に解決するということは、それらのコードが改ざんされていないことを意味します。

3. IntelBootGuardを備えたマシンを使用する

IntelBootGuardが有効になっているコンピューターを使用することをお勧めします。最近の多くのコンピューターにはこの機能が備わっています。これにより、マシンが署名されていないファームウェアイメージに依存するのを防ぎます。 TPMと同様に、情報を検証するためにアルゴリズムハッシュプロトコルにも依存しています。

4. Windows10でWindowsDefender SystemGuardを有効にする

Windows10のWindowsDefender System Guardには、ハイパーバイザーベースの認証とDynamic Root of Trust(DRTM)を介して安全な起動を保証することにより、ファームウェア攻撃を防ぐ機能があります。 Windows 10には、ファームウェアマルウェアをスキャンするUEFIスキャンエンジンもあります。

スキャナーは、チップセットメーカーからの洞察を比較して整合性を保証し、Microsoft DefenderATPの拡張機能です。

ファームウェアマルウェアソリューションは改善されています

PCメーカーは、特にこのグループの脅威がネットワーク全体に感染する可能性があるため、ファームウェアマルウェアに大きな注意を払い始めています。マイクロソフトなどの大手テクノロジー企業も、簡単な緩和ソリューションを提供することで積極的な役割を果たし始めています。

Microsoftには、ファームウェア攻撃を防ぐために特別に装備されたPCのクラスがすでにあります。セキュアコアPCと呼ばれるこれらのPCには、仮想化ベースのセキュリティ(VBS)、Windowsハイパーバイザーコードの整合性(HVCI)、および動的ルートオブトラスト測定(DRTM)によって可能になるカーネルレベルの保護が付属しています。

KasperskyやESETなどのオンラインセキュリティ企業も反撃しており、現在は独自のUEFIスキャナーを所有しています。