conti是这两年最活跃的勒索软件之一。安全厂商经由conti组织成员之间的对话发现这群黑客已经发展出攻击英特尔芯片固件的能力。
今年3月一名代号contileaks的研究人员黑入conti组织服务器,公布成员间的聊天软件对话。而安全厂商eclypsium从中发现到,这群黑客可能已经发展出攻击英特尔芯片固件漏洞的新能力以及开采概念验证程序。
除了传统直接针对uefi/bios攻击外,研究人员发现conti黑客现在也锁定英特尔管理引擎(intel management engine,me)。me是现代英特尔芯片组里的单片机,它在不同环境下有不同种类,skylake以前叫me,skylake之后叫英特尔聚合式安全与管理引擎(intel converged security management engine,csme),而在atom平台上叫信赖执行环境(trusted execution environment),此外还有服务器的版本,叫服务器平台服务(server platform services)。但它主要都是指频外管理处理器(out-of-band management processor),它内置于英特尔芯片组,独立于cpu执行。
根据分析,conti一直在针对me接口进行模糊测试,试图找出未知的指令或漏洞。此外也从me试图访问spi(uefi/bios系统固件使用的闪存),以便绕过其他防护。研究人员解析,从主机打开主动管理技术(amt)或变更其他me组态可暴露出me漏洞导致程序代码执行。而在me执行程序代码,访问spi内存及其他资源就能绕过一般防护。
图片来源/eclypsium
而黑客考虑的攻击,则包括从uefi植入dropper程序以及系统管理模式(smm)嵌入程序。由于smm是由uefi/bios控制的runtime cpu模式,比ring-0操作系统核心权限更高,os核心无法审查smm程序代码或封锁程序代码执行。因此smm嵌入程序可以修改核心而完全不被发现,也无法被阻止。
这些攻击涉及英特尔产品2019年到2020年发现的43项漏洞,影响涵盖csme、amt及ism(standard manageability)、dal(dynamic application loader)等软件。
研究人员强调,英特尔已没有新的漏洞,旧漏洞也已修补,且英特尔芯片组的固件程序也没有比其他程序代码更多问题。最大问题在于企业修补芯片组漏洞的频繁度要少于一般软件,甚至uefi/bios固件,这使得设备上权限更高的程序代码面临攻击威胁,而且更容易潜伏在系统中而不易被杀毒、端点安全或xdr等安全工具侦测、它造成损害更大、受害者也更多。