UEFI 掃描儀將 Microsoft Defender ATP 保護提升到一個新的水平
Microsoft Defender ATP 正在擴展其保護功能到固件級別,這個固件級別帶有一個新的統一可擴展固件接口。
近年來,隨著現代安全解決方案使操作系統上的持久性和檢測規避變得更加困難,硬件和固件級別的攻擊不斷增加。攻擊者通過破壞引導流來實現難以檢測的低級惡意軟件行為,這對組織的安全態勢構成重大風險。
Windows Defender System Guard 通過硬件支持的安全功能(如虛擬機監控程序級認證和安全啟動,也稱為動態信任根(DRTM))為安全引導提供保障,從而幫助抵御固件攻擊,默認情況下,在安全的核心 PC 中啟用。微軟 Defender ATP 中的新UEFI掃描引擎通過廣泛掃描固件來擴展這些保護。
UEFI掃描儀是 Windows 10 上內置防病毒解決方案的新組件,它使 Microsoft Defender ATP 具有掃描固件文件系統內部并執行安全評估的獨特能力。它集成了我們合作伙伴芯片組制造商的見解,并進一步擴展了 Microsoft Defender ATP 提供的全面端點保護。
Microsoft Defender ATP中的UEFI掃描儀的工作原理
新的UEFI掃描儀在運行時通過與主板芯片組交互來讀取固件文件系統。為了檢測威脅,它使用多個新的解決方案組件執行動態分析,這些組件包括:
- UEFI anti-rootkit,通過串行外設接口(SPI)到達固件
- 完整的文件系統掃描程序,它分析固件中的內容
- 檢測引擎,用于識別攻擊和惡意行為
固件掃描由運行時事件(如可疑的驅動程序加載)和定期的系統掃描編排。檢測報告在Windows安全性中,處于保護歷史記錄下。
下圖所顯示的就是:檢測到非易失性內存(NVRAM)中惡意內容的Windows安全通知。
Microsoft Defender ATP客戶還將在Microsoft Defender安全中心看到的這些檢測作為警報,從而使安全操作團隊能夠在其環境中的固件級別中調查和響應固件攻擊和可疑活動。
下圖顯示:用于檢測固件中惡意代碼的Microsoft Defender ATP警報
為了檢測SPI flash中的未知威脅,對來自UEFI掃描儀的信號進行分析,以確定異常情況及其執行位置。異常情況將報告給Microsoft Defender安全中心進行調查。
下圖顯示:UEFI文件系統中植入惡意軟件的Microsoft Defender ATP警報
這些事件同樣可以通過高級搜索進行查詢:
設備警報事件
- 其中Title有“UEFI”
- summary Titles=makeset(Title)按設備名、設備ID、bin(時間戳,1d)
- 限制100
我們是如何建造UEFI掃描儀的
統一可擴展固件接口(UEFI)是傳統BIOS的替代品。如果芯片組配置正確(UEFI和芯片組配置本身)并且啟用了安全引導,固件就相當安全。為了執行基于硬件的攻擊,攻擊者利用易受攻擊的固件或配置錯誤的計算機來部署rootkit,這使得攻擊者能夠在計算機上站穩腳跟。
如上圖所示,對于正確配置的設備,從開機到操作系統初始化的引導路徑是可靠的。如果禁用安全引導或主板芯片組配置錯誤,攻擊者可以更改固件中未簽名或篡改的UEFI驅動程序的內容。這可能允許攻擊者接管設備的控制權,并使其能夠剝奪操作系統內核或防病毒程序重新配置固件的安全性。
串行外圍接口(SPI)flash存儲重要信息。它的結構取決于原始設備制造商的設計,通常包括處理器微碼更新、Intel管理引擎(ME)和引導映像(UEFI可執行文件)。當計算機運行時,處理器在SPI flash上執行固件代碼一段時間。相對內存而言,閃存是永久映射到x86重置向量(物理地址0xFFFF_FFF0)。但是,攻擊者可以通過軟件干擾內存訪問重置向量。他們通過在配置錯誤的設備上重新編程BIOS控制寄存器來實現這一點,這使得安全軟件更難確定在引導期間執行了什么。
一旦植入物展開,就很難被發現。為了捕獲這個級別的威脅,操作系統級別的安全解決方案依賴于來自固件的信息,但是信任鏈被削弱了。
從技術上講,固件是不存儲的,不能從主存儲器訪問。與其他軟件不同,它存儲在SPI閃存中,因此新的UEFI掃描儀必須遵循硬件制造商提供的硬件協議。要與所有平臺兼容并保持最新,它需要考慮協議差異。
UEFI掃描儀對從硬件閃存中獲取的固件進行動態分析。通過獲取固件,掃描儀能夠解析固件,使Microsoft Defender ATP能夠在運行時檢查固件內容。
全面安全級別提高,低級別保護
新的UEFI掃描器增加了一套豐富的微軟技術,集成了芯片到云安全,從強大的硬件信任根部到操作系統級別的云安全解決方案。
硬件支持的安全功能,如安全啟動和設備認證,有助于阻止固件攻擊。這些功能默認情況下在安全核心PC中啟用,與Microsoft Defender ATP無縫集成,提供全面的端點保護。
借助其UEFI掃描儀,Microsoft Defender ATP對固件級別上的威脅的可見性更加豐富,攻擊者越來越關注這些威脅。安全操作團隊可以使用這種新級別的可見性以及Microsoft Defender ATP中豐富的檢測和響應功能來調查和遏制此類高級攻擊。
這種級別的可見性在Microsoft威脅保護(MTP)中也可用,它提供了更廣泛的跨域防御,可以跨端點、身份、電子郵件和應用程序協調保護。
