背景

2023年5月31日，一篇名為“出售的數(shù)百萬PC主板帶有固件后門”的文章發(fā)布^[1]，引起奇安信威脅情報(bào)中心關(guān)注。

文章中提到專注于固件的網(wǎng)絡(luò)安全公司Eclypsium的研究人員透露，他們?cè)谂_(tái)灣制造商技嘉出售的主板固件中發(fā)現(xiàn)了一種隱藏機(jī)制，其組件通常用于游戲PC和其他高性能計(jì)算機(jī)。Eclypsium發(fā)現(xiàn)，每當(dāng)裝有受影響的技嘉主板的計(jì)算機(jī)重新啟動(dòng)時(shí)，主板固件中的代碼就會(huì)無形地啟動(dòng)一個(gè)在計(jì)算機(jī)上運(yùn)行的更新程序，然后下載并執(zhí)行另一個(gè)軟件^[2]。

(相關(guān)資料圖)

Eclypsium表示雖然該隱藏機(jī)制可以保持主板固件更新，但研究人員發(fā)現(xiàn)它并不安全，該機(jī)制可能會(huì)被劫持并用于安裝惡意軟件而不是技嘉的預(yù)期程序。而且由于更新程序是由計(jì)算機(jī)的固件觸發(fā)的，在其操作系統(tǒng)之外，用戶很難刪除甚至發(fā)現(xiàn)它。在這項(xiàng)研究中，Eclypsium研究人員共列出了兩百多種受到影響的技嘉主板型號(hào)。

該文章發(fā)布后引起國(guó)內(nèi)外安全研究員的重視，奇安信威脅情報(bào)中心基于Eclypsium文章原文整理分析出此次事件，并通過奇安信威脅情報(bào)中心TIP研判該事件的影響面，最后對(duì)此事件進(jìn)行一個(gè)整體分析。

Eclypsium原文的分析解讀

（一）主要發(fā)現(xiàn)

Eclypsium檢測(cè)到技嘉系統(tǒng)上的固件會(huì)在Windows啟動(dòng)過程中釋放并執(zhí)行Windows二進(jìn)制文件。

此二進(jìn)制文件可以從Internet下載并執(zhí)行其他有效負(fù)載，而下載渠道無法保證安全。

（二）通信域名

釋放的Windows可執(zhí)行文件是一個(gè).NET應(yīng)用程序，它從以下域名之一下載并執(zhí)行可執(zhí)行負(fù)載，具體取決于其配置方式。

（三）執(zhí)行過程

Eclypsium對(duì)受影響的UEFI固件初步分析確定了以下文件:

該文件嵌在UEFI固件卷中，其GUID為: AEB1671D-019C-4B3B-BA-00-35-A2-E6-28-04-36。該可執(zhí)行文件被嵌入到UEFI固件中，并作為系統(tǒng)啟動(dòng)過程的一部分由固件寫入磁盤，這是UEFI植入程序和后門程序常用的一種技術(shù)。

在UEFI固件啟動(dòng)階段，“WpbtDxe.efi”固件模塊使用上述GUID將嵌入式Windows可執(zhí)行文件加載到內(nèi)存中，將其安裝到即將加載的WPBT ACPI表中，并在Windows啟動(dòng)時(shí)由Windows會(huì)話管理器子系統(tǒng)(smss.exe)執(zhí)行。在將可執(zhí)行文件安裝到WPBT ACPI表之前，“WpbtDxe.efi”模塊會(huì)檢查BIOS/UEFI設(shè)置中是否啟用了“APP 中心下載和安裝”功能。盡管此設(shè)置默認(rèn)情況下似乎是禁用的，但它在Eclypsium研究人員檢查的系統(tǒng)上是啟用的。

然后該可執(zhí)行文件在%SystemRoot%\\system32\\目錄下釋放GigabyteUpdateService.exe，并將其注冊(cè)為Windows服務(wù)運(yùn)行，隨即從資源段中釋放另一個(gè)Windows可執(zhí)行文件，該文件為.NET應(yīng)用程序，其向服務(wù)器請(qǐng)求下載并執(zhí)行更新程序。

代碼分析

根據(jù)Eclypsium披露的文件，我們無需技嘉公司的主板，通過對(duì)代碼的分析，我們亦可驗(yàn)證該OEM潛在后門。披露的初始可執(zhí)行文件攜帶技嘉公司有效簽名。

該可執(zhí)行文件執(zhí)行后，使用Windows Native API將內(nèi)嵌在自身的可執(zhí)行文件的內(nèi)容寫入%SystemRoot%\\system32\\目錄下，并命名為GigabyteUpdateService.exe。

然后設(shè)置注冊(cè)表項(xiàng)，將GigabyteUpdateService.exe作為Windows服務(wù)運(yùn)行。

在GigabyteUpdateService.exe可執(zhí)行程序的服務(wù)函數(shù)中，其從資源段中釋放.NET可執(zhí)行程序。

最終使用CreateProcessAsUserW函數(shù)調(diào)用該.NET可執(zhí)行文件。

并且在調(diào)用時(shí)，根據(jù)不同的場(chǎng)景傳遞不同的參數(shù)。

在.NET可執(zhí)行文件中，初始化依賴時(shí)創(chuàng)建MainWindow的回調(diào)函數(shù)。

在其回調(diào)函數(shù)中，通過switch case結(jié)構(gòu)來分配不同的分支。

傳入的參數(shù)為DownloadAndInstall時(shí)，向服務(wù)器請(qǐng)求下載指定的更新程序，并且下載時(shí)拼接的URL可選選項(xiàng)有HTTP和HTTPS。

最終在下載后并未做驗(yàn)證就運(yùn)行下載的程序。

通過代碼分析可以看到正如Eclypsium文章中所說，純HTTP下載永遠(yuǎn)不應(yīng)該用于更新特權(quán)代碼，因?yàn)樗苋菀自馐苤虚g人攻擊（MITM），另外即使使用HTTPS選項(xiàng)，也沒有實(shí)現(xiàn)對(duì)遠(yuǎn)程服務(wù)器證書的驗(yàn)證。

影響面分析

Eclypsium研究人員共列出了兩百多種受到影響的技嘉主板型號(hào)，國(guó)外媒體報(bào)道稱受影響數(shù)量達(dá)到百萬級(jí)別。

通過奇安信威脅情報(bào)中心的TIP對(duì)更新域名mb.download.gigabyte.com查詢結(jié)果顯示，客戶端訪問量級(jí)較大。

由于該域名可能掛載了技嘉公司的其他更新服務(wù)，根據(jù)奇安信的數(shù)據(jù)視野范圍的評(píng)估，全球受影響機(jī)器的數(shù)量級(jí)至少在十萬以上。

總結(jié)

通過對(duì)技嘉系統(tǒng)存在潛在后門的代碼分析，可以確認(rèn)其在下載更新程序時(shí)，并未做任何有效驗(yàn)證，并且使用HTTP協(xié)議進(jìn)行下載時(shí)，很容易造成中間人攻擊（MITM）。此外，更新過程的不安全性通過受感染的路由器、同一網(wǎng)段上受感染的設(shè)備、DNS中毒或其他網(wǎng)絡(luò)操縱為中間人攻擊（MITM）技術(shù)打開了大門。還需要注意的是，存在潛在后門代碼中的第三個(gè)連接選項(xiàng)https://software-nas/Swhttp/LiveUpdate4不是完全限定的域名，而是可能在本地網(wǎng)絡(luò)上的機(jī)器名。這意味著本地子網(wǎng)上的攻擊者可以誘使植入程序連接到他們的系統(tǒng)，而無需DNS欺騙。

在歷史上，使用該種類型的OEM潛在后門攻擊案例不在少數(shù)，甚至有APT組織利用該種手法進(jìn)行攻擊?？梢奜EM底層代碼的安全性不足會(huì)產(chǎn)生極其嚴(yán)重的后果。

參考鏈接

[1].https://www.wired.com/story/gigabyte-motherboard-firmware-backdoor/

[2].https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/

標(biāo)簽：