ПРОГРИД СИСТЕМС ХХК, Progrid Systems LLC,
HybridPetya: UEFI Secure Boot-ыг тойрч гардаг шинэ ransomwareHybridPetya: UEFI Secure Boot-ыг тойрч гардаг шинэ ransomware
HybridPetya: UEFI Secure Boot-ыг тойрч гардаг шинэ ransomware
ESET судалгааны төв 2025 оны эхээр VirusTotal дээр илэрсэн шинэ ransomware дээжүүдийг судалж, анализ хийсний үр дүнд HybridPetya гэх шинэ төрлийн Ransomware халдлагыг илрүүлжээ. Энэ нь анхны Petya / NotPetya ransomware-ийн загварыг дуурайлган, одоогийн UEFI архитектур, Secure Boot хамгаалалтыг тойрч гарах чадвартай гэдгээрээ онцлог байна.
Техникийн мэдээлэл
- Petya / NotPetya-тэй ижил төстэй шинжүүд
HybridPetya нь "Petya/NotPetya хуулбар" гэх тодорхойлолттой байсан учраас HybridPetya гэж нэрлэгдсэн. Гэхдээ нэг чухал ялгаа бий: NotPetya нь ихэвчлэн “Wipe” буюу систем сэргээх боломжгүй болгодог, decryption (шифр тайлах) түлхүүрийг буцааж Ransom төлөхгүй олж авах боломжгүй байсан. Харин HybridPetya нь хэрэглэгчийн installation key ашиглан decryption хийх боломжтой байсан. - MFT (Master File Table) шифрлэлт
Энэхүү халдлага NTFS форматын дисктэй системүүд дээр MFT буюу Master File Table-г шифрлэдэг. MFT нь файл системийн metadata мэдээллийг агуулдаг тул үүнийг шифрлэх нь файл системийн бүтцийг эвдэхэд хүргэдэг. Шифрлэлт явуулахдаа EFI System Partition руу халдварлах боломжтой EFI аппликейшн ашиглах байдлаар бүтээгдсэн байна. - UEFI Secure Boot-ын тойрч гарах чадвар — CVE-2024-7344
CVE-2024-7344 эмзэг байдлыг ашиглан UEFI Secure Boot хамгаалалтыг тойрч гарах боломжтой байна. Энэ дутагдал нь зарим UEFI “reloader.efi” маягийн аппликейшнтэй холбоотой бөгөөд, cloak.dat нэртэй тусгай файл ашиглан unsigned UEFI кодыг ачааллах боломж олгодог. Автомат integrity шалгалт хийгддэггүй тохиолдолд cloak.dat-аас өгөгдөл уншиж, unsigned кодыг ажиллуулах боломж үүсдэг. - UEFI bootkit архитектур
HybridPetya нь ихэвчлэн хоёр гол бүрэлдэхүүнтэй: installer (суулгах хэсэг) ба bootkit / EFI аппликейшн. Bootkit нь \EFI\Microsoft\Boot\config файл доторх тохиргоо болон encryption flag-уудыг шалгаж, шифрлэлт эхлэх нөхцлийг бүрдүүлдэг. Шифрлэлт явуулахдаа зарим файлыг шифрлэж, counter файл үүсгэн аль кластерууд шифрлэгдсэн талаарх бүртгэл хөтөлдөг. Decryption үйлдэл нь counter файлд бичигдсэн утгад тулгуурлан тодорхой нөхцөл биелэгдсэн тохиолдолд зогсдог ба bootloader-оос нөхөн сэргээх оролдлого хийж болно. Installer хэсэг нь bootloader-ыг өөрчилж, систем дахин ачаалалтын үед халдварласан bootkit код ажиллах нөхцөл бүрдүүлдэг. - Тархац
Oдоогоор ESET-ийн телеметр болон нийтэд бүртгэгдсэн системийн логуудаас HybridPetya-ийн өргөн тархалт, идэвхтэй in-the-wild тохиолдлууд илрээгүй байна. Мөн уг код нь aggressive propagation (өргөн тархах) механизм багатай, proof-of-concept эсвэл туршилтын код байх магадлалтай гэж дүгнэж байна. Гэхдээ UEFI/firmware түвшний халдлага концепт нь улам илүү анхаарал татаж байгаа тул цаашид хөгжсөн хувилбарууд үүсэх эрсдэл байсаар байна.
Ямар эрсдэлтэй вэ?
- Firmware-т суурилсан халдлагууд нь OS-ийн төвийн антивирус, EDR гэх мэт хамгаалалтаас давж ажиллах боломжтой (pre-OS шат дахь халдлага).
- Ийм халдварын дараа системийг форматлах, OS-ийг дахин суулгахад ч халдлага бүрэн арилж чадахгүй тохиолдол гарч болдог.
- Secure Boot-ыг тойрч гарах чадвартай халдлага нь UEFI системүүд дээрх уламжлалт хамгаалалтын ойлголтод эргэлзэхэд хүргэнэ.
- Хэрвээ системийн UEFI/firmware шинэчлэгдээгүй, Secure Boot тохиргоо сул эсвэл шаардлагатай revocation (dbx) шинэчлэлтүүд хийгдээгүй бол илүү эмзэг байна.
Сургамж, зөвлөмж, хамгааллын арга зам
- Firmware / BIOS / UEFI шинэчлэл
Системийн үйлдвэрлэгчийн албан ёсны firmware/UEFI шинэчлэлтүүдийг цаг алдалгүй суулгах. Энэ бол илэрсэн эмзэг байдлыг засах хамгийн чухал алхам. - Secure Boot тохиргоо, revocation database (dbx) шинэчлэл
Microsoft болон үйлдвэрлэгчийн revocation буюу хязгаарлагдсан UEFI файлуудын мэдээллийг шинэчилж, системд суулгах. Хэрвээ системд шаардлагагүй UEFI аппликейшн эсвэл хуучин recovery програмууд байгаа бол шалгаж, шаардлагагүй бол устгах. - EFI System Partition-ын хандалтын эрхийг хязгаарлах
ESP (EFI System Partition) руу зөвшөөрөгдөөгүй хандалт хийхийг хязгаарлах. Администратор/ROOT эрхтэй програмууд ESP дээр файл байршуулж чадах тул зөв эрхийн бодлогыг мөрдөх. - Антивирус/Endpoint хамгаалалтыг firmware-т анхааралтай тохируулах
Зарим хамгаалалтын шийдлүүд UEFI/firmware түвшний илрүүлэлт хийдэг тул тийм боломж бүхий шийдлүүдийг ашиглах. - Системийн мониторинг, integrity шалгалт
- EFI System Partition-ийн файлууд болон bootloader-ын integrity-г тогтмол шалгах.
- ESP-д нэмэгдсэн танихгүй файл, cloak.dat зэрэг содон файл байгаа эсэхийг шалгах.
- Bootloader-тай холбоотой файлуудын цифр гарын үсэг, хэшийг бүртгэн хянах.
Дүгнэлт
HybridPetya нь UEFI түвшний халдлагын боломжийг дахин сануулж, Secure Boot-ын хамгаалалтыг дангаараа бүрэн найдвартай гэж үзэх боломжгүй гэх анхааруулгыг өгч байна. Одоогоор өргөн тархалтгүй, магадгүй proof-of-concept маягийн код байх ч, үүний үндсэн технологи нь цаашид илүү боловсронгуй халдлагууд үүсэх нөхцлийг бүрдүүлж болох тул firmware/UEFI-ийн шинэчлэлт, Secure Boot-ын зохистой тохиргоо, ESP-ийн хяналтыг чухалчилж хийх шаардлагатай байна.
HybridPetya: UEFI Secure Boot-ыг тойрч гардаг шинэ ransomware
HybridPetya: UEFI Secure Boot-ыг тойрч гардаг шинэ ransomware
ESET судалгааны төв 2025 оны эхээр VirusTotal дээр илэрсэн шинэ ransomware дээжүүдийг судалж, анализ хийсний үр дүнд HybridPetya гэх шинэ төрлийн Ransomware халдлагыг илрүүлжээ. Энэ нь анхны Petya / NotPetya ransomware-ийн загварыг дуурайлган, одоогийн UEFI архитектур, Secure Boot хамгаалалтыг тойрч гарах чадвартай гэдгээрээ онцлог байна.
Техникийн мэдээлэл
- Petya / NotPetya-тэй ижил төстэй шинжүүд
HybridPetya нь "Petya/NotPetya хуулбар" гэх тодорхойлолттой байсан учраас HybridPetya гэж нэрлэгдсэн. Гэхдээ нэг чухал ялгаа бий: NotPetya нь ихэвчлэн “Wipe” буюу систем сэргээх боломжгүй болгодог, decryption (шифр тайлах) түлхүүрийг буцааж Ransom төлөхгүй олж авах боломжгүй байсан. Харин HybridPetya нь хэрэглэгчийн installation key ашиглан decryption хийх боломжтой байсан. - MFT (Master File Table) шифрлэлт
Энэхүү халдлага NTFS форматын дисктэй системүүд дээр MFT буюу Master File Table-г шифрлэдэг. MFT нь файл системийн metadata мэдээллийг агуулдаг тул үүнийг шифрлэх нь файл системийн бүтцийг эвдэхэд хүргэдэг. Шифрлэлт явуулахдаа EFI System Partition руу халдварлах боломжтой EFI аппликейшн ашиглах байдлаар бүтээгдсэн байна. - UEFI Secure Boot-ын тойрч гарах чадвар — CVE-2024-7344
CVE-2024-7344 эмзэг байдлыг ашиглан UEFI Secure Boot хамгаалалтыг тойрч гарах боломжтой байна. Энэ дутагдал нь зарим UEFI “reloader.efi” маягийн аппликейшнтэй холбоотой бөгөөд, cloak.dat нэртэй тусгай файл ашиглан unsigned UEFI кодыг ачааллах боломж олгодог. Автомат integrity шалгалт хийгддэггүй тохиолдолд cloak.dat-аас өгөгдөл уншиж, unsigned кодыг ажиллуулах боломж үүсдэг. - UEFI bootkit архитектур
HybridPetya нь ихэвчлэн хоёр гол бүрэлдэхүүнтэй: installer (суулгах хэсэг) ба bootkit / EFI аппликейшн. Bootkit нь \EFI\Microsoft\Boot\config файл доторх тохиргоо болон encryption flag-уудыг шалгаж, шифрлэлт эхлэх нөхцлийг бүрдүүлдэг. Шифрлэлт явуулахдаа зарим файлыг шифрлэж, counter файл үүсгэн аль кластерууд шифрлэгдсэн талаарх бүртгэл хөтөлдөг. Decryption үйлдэл нь counter файлд бичигдсэн утгад тулгуурлан тодорхой нөхцөл биелэгдсэн тохиолдолд зогсдог ба bootloader-оос нөхөн сэргээх оролдлого хийж болно. Installer хэсэг нь bootloader-ыг өөрчилж, систем дахин ачаалалтын үед халдварласан bootkit код ажиллах нөхцөл бүрдүүлдэг. - Тархац
Oдоогоор ESET-ийн телеметр болон нийтэд бүртгэгдсэн системийн логуудаас HybridPetya-ийн өргөн тархалт, идэвхтэй in-the-wild тохиолдлууд илрээгүй байна. Мөн уг код нь aggressive propagation (өргөн тархах) механизм багатай, proof-of-concept эсвэл туршилтын код байх магадлалтай гэж дүгнэж байна. Гэхдээ UEFI/firmware түвшний халдлага концепт нь улам илүү анхаарал татаж байгаа тул цаашид хөгжсөн хувилбарууд үүсэх эрсдэл байсаар байна.
Ямар эрсдэлтэй вэ?
- Firmware-т суурилсан халдлагууд нь OS-ийн төвийн антивирус, EDR гэх мэт хамгаалалтаас давж ажиллах боломжтой (pre-OS шат дахь халдлага).
- Ийм халдварын дараа системийг форматлах, OS-ийг дахин суулгахад ч халдлага бүрэн арилж чадахгүй тохиолдол гарч болдог.
- Secure Boot-ыг тойрч гарах чадвартай халдлага нь UEFI системүүд дээрх уламжлалт хамгаалалтын ойлголтод эргэлзэхэд хүргэнэ.
- Хэрвээ системийн UEFI/firmware шинэчлэгдээгүй, Secure Boot тохиргоо сул эсвэл шаардлагатай revocation (dbx) шинэчлэлтүүд хийгдээгүй бол илүү эмзэг байна.
Сургамж, зөвлөмж, хамгааллын арга зам
- Firmware / BIOS / UEFI шинэчлэл
Системийн үйлдвэрлэгчийн албан ёсны firmware/UEFI шинэчлэлтүүдийг цаг алдалгүй суулгах. Энэ бол илэрсэн эмзэг байдлыг засах хамгийн чухал алхам. - Secure Boot тохиргоо, revocation database (dbx) шинэчлэл
Microsoft болон үйлдвэрлэгчийн revocation буюу хязгаарлагдсан UEFI файлуудын мэдээллийг шинэчилж, системд суулгах. Хэрвээ системд шаардлагагүй UEFI аппликейшн эсвэл хуучин recovery програмууд байгаа бол шалгаж, шаардлагагүй бол устгах. - EFI System Partition-ын хандалтын эрхийг хязгаарлах
ESP (EFI System Partition) руу зөвшөөрөгдөөгүй хандалт хийхийг хязгаарлах. Администратор/ROOT эрхтэй програмууд ESP дээр файл байршуулж чадах тул зөв эрхийн бодлогыг мөрдөх. - Антивирус/Endpoint хамгаалалтыг firmware-т анхааралтай тохируулах
Зарим хамгаалалтын шийдлүүд UEFI/firmware түвшний илрүүлэлт хийдэг тул тийм боломж бүхий шийдлүүдийг ашиглах. - Системийн мониторинг, integrity шалгалт
- EFI System Partition-ийн файлууд болон bootloader-ын integrity-г тогтмол шалгах.
- ESP-д нэмэгдсэн танихгүй файл, cloak.dat зэрэг содон файл байгаа эсэхийг шалгах.
- Bootloader-тай холбоотой файлуудын цифр гарын үсэг, хэшийг бүртгэн хянах.
Дүгнэлт
HybridPetya нь UEFI түвшний халдлагын боломжийг дахин сануулж, Secure Boot-ын хамгаалалтыг дангаараа бүрэн найдвартай гэж үзэх боломжгүй гэх анхааруулгыг өгч байна. Одоогоор өргөн тархалтгүй, магадгүй proof-of-concept маягийн код байх ч, үүний үндсэн технологи нь цаашид илүү боловсронгуй халдлагууд үүсэх нөхцлийг бүрдүүлж болох тул firmware/UEFI-ийн шинэчлэлт, Secure Boot-ын зохистой тохиргоо, ESP-ийн хяналтыг чухалчилж хийх шаардлагатай байна.