Firmware-based Malware: hrozby pod operačním systémem

Ve světě kyberbezpečnosti se většina obranných strategií stále upíná na ochranu operačního systému. Máme EDR, antiviry, sandboxy… Ale co když útočník vůbec operační systém nepotřebuje, aby převzal kontrolu nad zařízením?

Firmware-based malware operuje tam, kam většina bezpečnostních nástrojů vůbec nevidí – v hlubinách kódu, který se spouští ještě před načtením samotného OS. UEFI, BIOS, řadiče disků nebo síťových karet – to všechno se může stát ideálním útočným vektorem. A jakmile se škodlivý kód usadí v této vrstvě, je prakticky nesmrtelný. Nepomůže reinstalace, výměna disku, ani běžné bezpečnostní skenery.

Co je firmware-based malware? 

Firmware-based malware je škodlivý kód, který se usazuje v komponentech pod operačním systémem, typicky v UEFI/BIOSu, nebo v ovladačích řadičů pevných disků, síťových karet či GPU. Na rozdíl od malwaru v OS, který lze obvykle odstranit reinstalací systému nebo antivirem, firmware malware přežije i kompletní smazání disku. Využívá zranitelnosti v implementaci firmwaru, často z dôvodu nedostatečného podepisování aktualizací nebo absence Secure Boot. 

Reálné případy

Mezi nejznámější incidenty patří: 

• LoJax (APT28): Tento malware byl identifikován kolem roku 2018 jako první veřejně zdokumentovaný UEFI rootkit v reálném světě. Byl nasazen skupinou APT28 (také zvanou Fancy Bear), spojenou s ruskou vojenskou rozvědkou (GRU). LoJax zneužil legální nástroj LoJack pro trvalé zafixování se v SPI flash paměti, což mu umožnilo přežít přeinstalování OS i výměnu disku. 
• MoonBounce (APT41): Odhalen v roce 2021 společností Kaspersky. Malware se usadil přímo v SPI flash paměti UEFI a byl schopen spustit škodlivý kód ještě před nahráním samotného operačního systému. APT41 (pravděpodobně napojená na Čínu) jej použila k tiché infiltraci organizací bez generování detekovatelných stop na úrochni OS. 
• MosaicRegressor: Zveřejněn v roce 2020 jako pokročilý UEFI implantát cílený na diplomatické a vládní cíle v Africe, Asii a východní Evropě. Malware upravil UEFI obraz za účelem perzistence, přičemž využil zneškodněný bezpečnostní řetězec aktualizací firmwaru. Tyto kampaně ukazují, že firmware útoky nejsou hypotetické, ale aktivně využívané státními aktéry a často zůstanou bez povšimnutí i roky. 

Detekce a forenzní analýza: Když běžné nástroje nestačí

Většina tradičních nástrojů – včetně těch pokročilých, jako jsou EDR nebo XDR platformy – jednoduše nevidí dost hluboko. Nejsou navrženy tak, aby analyzovaly, co se děje v paměti SPI nebo jaký kód se spouští ještě před načtením operačního systému.

A právě zde nastupují specializované nástroje – méně známé, ale pro lovce hrozeb naprosto klíčové.

CHIPSEC, open-source framework od Intelu, je jedním z nejostřejších nástrojů v arzenálu forenzních expertů. Umí testovat bezpečnost firmwaru na úrovni UEFI a BIOS, kontrolovat přístupová práva k paměti nebo identifikovat zranitelnosti, které mohou vést k trvalému kompromitování systému. Spustit ho lze jak z živé distribuce, tak přímo z běžícího systému – ideálně ovšem mimo provozní prostředí.

Když potřebujete nahlédnout pod kapotu firmwaru, přichází na řadu Binwalk. Tento nástroj funguje jako digitální mikroskop: rozpitvá binární obrazy, odhalí skryté souborové systémy a extrahuje komprimované bloky. Je nepostradatelný při reverzním inženýrství, kdy se snažíte pochopit, co přesně v zařízení běží – a co tam nemá být.

Další zásadní nástroj je UEFITool – jakýsi vizuální editor firmwaru. Umožňuje forenzním analytikům procházet jednotlivé komponenty UEFI obrazů, ověřovat digitální podpisy a porovnávat strukturu s referenčními verzemi. UEFI implantáty jako MosaicRegressor byly odhaleny právě díky kombinaci tohoto typu nástrojů a detailní manuální analýzy.

A pokud chcete jít ještě hlouběji, potřebujete Intel SPI Flash tools. Ty však často vyžadují přímý fyzický přístup k zařízení – například pomocí JTAG nebo SPI programátoru. Jsou zcela zásadní při extrakci obsahu firmware přímo z čipu, mimo operační systém, tedy v prostředí, kde malware nemá šanci zasahovat do procesu.

Detekce ale nekončí u samotné extrakce – následuje kontrola integrity. Hashování, porovnání s oficiálními obrazy od výrobce, kontrola podpisů – každý nesoulad může znamenat, že došlo k manipulaci. A právě díky těmto detailům lze zachytit neviditelného vetřelce, který by jinak přežil i reinstalaci systému.

Je však třeba podotknout, že ani technologie jako UEFI Secure Boot nebo TPM nejsou neprůstřelné. Pokud nejsou správně nasazené, útočník může tyto ochrany obejít – například použitím škodlivého kódu s platným, kompromitovaným certifikátem.

Možnosti obrany: Jak chránit to, co nevidíme

Boj s firmware malwarem není o hledání jednoduchých řešení. Neexistuje jeden nástroj, který by "vyléčil" napadený BIOS. Obrana se odehrává v několika vrstvách – od správné správy aktualizací až po změnu myšlení o tom, co vlastně znamená "zabezpečený systém".

Základem je disciplinovaný firmware update management. Výrobci základních desek a OEM zařízení sice vydávají bezpečnostní aktualizace, ale jejich nasazování často kulhá. Firemní IT oddělení mají tendenci firmware přehlížet – aktualizace BIOSu je totiž vnímána jako riskantní operace. A přitom právě tím vzniká prostor pro útočníka.

Dalším pilířem je audit a monitoring změn. Nejde o to, sledovat běžné logy systému – ale hlídat, zda se změnil obsah SPI flash paměti, zda někdo neměnil podpisové certifikáty nebo nevložil vlastní UEFI modul. Detekce na této úrovni je náročná, ale díky nástrojům jako CHIPSEC nebo fwupd se stává dosažitelnější i mimo specializované laboratoře.

Zásadní roli hraje také izolace správy. Pokud mají útočníci přístup k systému vzdáleně, často využívají špatně chráněné BMC (Baseboard Management Controllers) nebo IPMI rozhraní. Řešením je oddělení managementové sítě, restrikce přístupů a logování každé interakce s firmwarem.

A nakonec to nejopomíjenější: lidé. Bez školeného IT personálu, který rozumí architektuře UEFI, rozdílům mezi legacy BIOSem a moderním secure bootem, a který ví, jak firmware analyzovat a bezpečně aktualizovat, zůstane každá technologie slepou skvrnou.

Obrana musí začínat pod operačním systémem

Dlouho jsme si mysleli, že když zabezpečíme operační systém, máme hotovo. Realita nás ale dostihla. Firmware-based malware ukazuje, že ochrana musí začínat ještě dřív – v samotném základu výpočetního prostředí. Nejde jen o nové nástroje. Jde o změnu myšlení.

Je načase přepsat bezpečnostní mapy. Přestat považovat firmware za "neměnný" a začít ho chápat jako živou, zranitelnou součást každé digitální infrastruktury. Kyberbezpečnost budoucnosti nebude jen o tom, co běží ve Windows nebo Linuxu. Bude o tom, co běží pod nimi – a kdo to má pod kontrolou.