Specialisten van ESET bedenken een machine-learningmethode die opkomende UEFI-bedreigingen kan herkennen
Malware ontdekken zoals LoJax is zeer zeldzaam. Er zijn miljoenen uitvoerbare UEFI-bestanden ‘in the wild’ en slechts een klein aantal ervan zijn kwaadaardig. “Alleen al tijdens de afgelopen twee jaar hebben we meer dan 2,5 miljoen unieke uitvoerbare UEFI-bestanden gezien, uit een totaal van 6 miljard,” vertelt Filip Mazán, software engineer bij ESET, die aan de ontwikkeling van het machine-learningsysteem werkte.
Het begon met de telemetrische gegevens die door de UEFI-scanner van ESET verzameld werden. De ESET specialisten en malware onderzoekers bedachten een aangepaste verwerkingspijplijn voor uitvoerbare UEFI-bestanden die gebruik maakt van machine-learning om eigenaardigheden in de binnenkomende stalen te detecteren. “Om het aantal stalen die menselijke aandacht vereisen, te verminderen, hebben we besloten een systeem te ontwikkelen dat specifiek ‘opvallende’ stalen zou markeren door het vinden van ongewone eigenschappen in UEFI-bestanden,” zegt Mazán.
Als proof of concept hebben de vorsers het systeem getest op gekende, verdachte en kwaadaardige UEFI-bestanden die voorheen niet opgenomen waren in de dataset – meer bepaald ook het LoJax UEFI-stuurprogramma. Met succes concludeerde het systeem dat de LoJax-driver erg verschillend is van alles wat eerder is gezien. “Deze succesvolle test gaf ons het zelfvertrouwen dat, mocht een andere UEFI bedreiging opduiken, we het als een eigenaardigheid zouden kunnen identificeren, het onmiddellijk zouden analyseren en een aangepast detectiesysteem zouden kunnen creëren,” verduidelijkt Mazán.
Naast het tonen van een sterke capaciteit in het identificeren van verdachte UEFI-bestanden, bleek de machine-learningbenadering de werklast van de ESET-analisten zo’n 90% te verminderen (mochten ze alle binnenkomende stalen analyseren). Dankzij het feit dat elk nieuw binnenkomend UEFI-bestand aan de dataset toegevoegd, verwerkt, geïndexeerd en in aanmerking wordt genomen voor de volgende binnenkomende stalen, biedt de oplossing realtime monitoring van het UEFI-landschap.
Door met dit systeem op UEFI-bedreigingen te jagen, hebben de vorsers van ESET meerdere interessante UEFI-componenten ontdekt die in twee categorieën kunnen ondergebracht worden – UEFI-firmware achterdeuren en persistentie-modules op OS-niveau. “Terwijl onze verwerkingspijplijn voor UEFI-bestanden nog geen nieuwe malware heeft gevonden, heeft het resultaten voortgebracht die veelbelovend zijn,” zegt Jean-Ian Boutin, senior malware researcher bij ESET. De meest opmerkelijke ontdekking is de ASUS-achterdeur: een UEFI- firmware achterdeur opgespoord in verschillende ASUS-laptopmodellen en door ASUS verholpen na kennisgeving door ESET.
Om meer te vernemen over dit ESET-onderzoek, verwijzen we u naar de blog post “Needles in a haystack: Picking unwanted UEFI components out of millions of samples” op www.WeLiveSecurity.com
Voor het gratis e-book over gegevensbescherming, bezoek https://www.eset.com/be-nl/zakelijk/data-protection-ebook/
Over ESET Al 30 jaar ontwikkelt ESET® wereldwijd vooraanstaande software voor IT-beveiliging alsook diensten voor bedrijven en consumenten. ESET biedt een brede waaier aan van oplossingen die gaan van endpoint en mobiele beveiliging tot versleuteling en twee-factor authenticatie. ESET’s hoogpresterende en gemakkelijk te gebruiken producten laten consumenten en bedrijven toe met gemoedsrust te genieten van hun technologie. ESET beschermt en controleert onopvallend 24/7, werkt de bescherming bij in real time en maakt het mogelijk dat bedrijven en gebruikers zonder onderbreking kunnen werken. Evoluerende bedreigingen vragen om IT-beveiliging die mee evolueert. Ondersteund door wereldwijde O&O centra werd ESET het eerste IT-beveiligingsbedrijf dat 100 maal de Virus Bulletin VB100 awards kreeg voor het identificeren van elke “in-the-wild” malware en dit zonder onderbreking sinds 2003.
Laden ...
