Što je LoJax UEFI Rootkit razvio ruski hakeri?

  • Brian Curtis
  • 0
  • 3678
  • 436
Oglas

Rootkit je posebno jeziva vrsta zlonamjernog softvera. “redovan” infekcija zlonamjernim softverom učitava se kada uđete u operativni sustav. Još je uvijek loša situacija, ali pristojni antivirus trebao bi ukloniti zlonamjerni softver i očistiti vaš sustav.

Suprotno tome, rootkit se instalira na firmver vašeg sustava i omogućuje instalaciju zlonamjernog korisnog opterećenja svaki put kada ponovno pokrenete sustav..

Istraživači sigurnosti primijetili su novu varijantu rootkita u divljini, pod nazivom LoJax. Što ovaj rootkit izdvaja od ostalih? Pa, to može zaraziti moderne sustave koji se temelje na UEFI, a ne starije BIOS-ove sustave. I to je problem.

LoJax UEFI Rootkit

ESET Research objavio je istraživački rad u kojem se navodi LoJax, novootkriveni rootkit (što je rootkit?) Koji uspješno ponovno nameće istoimeni komercijalni softver. (Iako je istraživački tim krštavao zlonamjerni softver “LoJax,” izvorni softver je imenovan “LoJack.”)

Dodajući prijetnji, LoJax može preživjeti potpunu ponovnu instalaciju sustava Windows, pa čak i zamjenu tvrdog diska.

Zlonamjerni softver preživljava napadom na sustav za pokretanje UEFI firmware-a. Ostali rootkiti mogu se sakriti u pogonima ili sektorima za pokretanje Što je Bootkit i je li Nemesis prava prijetnja? Što je "Bootkit" i je li Nemesis prava prijetnja? Hakeri i dalje pronalaze načine kako da poremete vaš sustav, poput bootkita. Pogledajmo što je pokretački program, kako funkcionira varijanta Nemesis, i razmotrimo što možete učiniti da ostanete jasni. , ovisno o njihovom kodiranju i namjeri napadača. LoJax se zakači na firmver sustava i ponovno inficira sustav prije nego što se OS čak i učita.

Do sada, jedina poznata metoda potpunog uklanjanja zlonamjernog softvera LoJax je bljeskanje novog firmvera preko sumnjivog sustava. Ažuriranje UEFI BIOS-a u sustavu Windows Kako ažurirati svoj UEFI BIOS u sustavu Windows Većina korisnika računala ide bez ikad ažuriranja BIOS-a. Ako se brinete za kontinuiranu stabilnost, povremeno biste trebali provjeriti je li dostupno ažuriranje. Pokazujemo vam kako sigurno ažurirati svoj UEFI BIOS. , Bljeskalica upravljačkog softvera nije nešto sa čime većina korisnika ima iskustva. Iako je lakše nego u prošlosti, i dalje je značajno da će bljesak firmvera poći po zlu, što potencijalno blokira dotični stroj..

Kako djeluje LoJax Rootkit?

LoJax koristi prepakiranu verziju LoJack protuprovalnog softvera LoJack. Izvorni alat trebao bi biti postojan tijekom brisanja sustava ili zamjene tvrdog diska kako bi korisnik licence mogao pratiti ukradeni uređaj. Razlozi zbog kojih se alat toliko duboko zabio u računalo prilično su opravdani, a LoJack je i dalje popularan proizvod protiv krađe za ove točne kvalitete.

S obzirom da se u SAD-u 97 posto ukradenih prijenosnih računala nikada ne može povratiti, razumljivo je da korisnici žele dodatnu zaštitu za tako skupo ulaganje.

LoJax koristi upravljački program kernela, RwDrv.sys, za pristup postavkama BIOS / UEFI. Upravljački program kernela isporučuje se s RWEverything, legitimnim alatom koji se koristi za čitanje i analiziranje postavki računala na niskoj razini (bitovi kojima obično nemate pristup). U procesu infekcije LoJax rootkitom bila su tri druga alata:

  • Prvi alat ubacuje podatke o postavkama sustava na niskoj razini (kopiran s RWEverything) u tekstualnu datoteku. Zaobilaženje zaštite sustava od zlonamjernih ažuriranja softvera zahtijeva znanje o sustavu.
  • Drugi alat “sprema sliku firmvera sustava u datoteku čitanjem sadržaja SPI flash memorije.” SPI flash memorija hostuje UEFI / BIOS.
  • Treći alat dodaje zlonamjeran modul slici firmvera, a zatim ga vraća nazad u SPI flash memoriju.

Ako LoJax shvati da je SPI flash memorija zaštićena, za pristup joj se koristi poznata ranjivost (CVE-2014-8273), a zatim nastavlja i upisuje rootkit u memoriju.

Odakle LoJax?

Istraživački tim ESET vjeruje da je LoJax djelo zloglasne ruske hakerske grupe Fancy Bear / Sednit / Strontium / APT28. Hakerska skupina odgovorna je za nekoliko velikih napada posljednjih godina.

LoJax koristi iste poslužiteljske naredbe i kontrole kao i SedUploader-još jedan Sednit stražnji malware. LoJax također ima veze i tragove ostalih Sednit zlonamjernog softvera, uključujući XAgent (još jedan stražnji alat) i XTunnel (siguran mrežni proxy alat).

Pored toga, istraživanje ESET-a pokazalo je da operatori zlonamjernog softvera “koristili različite komponente zlonamjernog softvera LoJax za ciljanje nekoliko vladinih organizacija na Balkanu, kao i u Srednjoj i Istočnoj Europi.”

LoJax nije prvi UEFI-in korijen

Vijest o LoJaxu zasigurno je uzrokovala da svijet sigurnosti sjedi i bilježi. Međutim, to nije prvi UEFI rootkit. Hakerski tim (zlonamjerna skupina, za slučaj da se pitate) koristio je UEFI / BIOS rootkit još 2015. godine kako bi agent daljinskog upravljanja bio instaliran na ciljne sustave.

Glavna razlika između UEFI rootkita Hacking Team-a i LoJax-a je način isporuke. U to su vrijeme sigurnosni istraživači smatrali da je timu za hakiranje potreban fizički pristup sustavu za instaliranje infekcije na razini firmvera. Naravno, ako netko ima izravan pristup vašem računalu, može raditi što želi. Ipak, UEFI rootkit je posebno gadan.

Je li vaš sustav u riziku od LoJaxa?

Suvremeni sustavi temeljeni na UEFI imaju nekoliko različitih prednosti u odnosu na njihove starije BIOS-ove kolege.

Za jednu su novije. Novi hardver nije sve kraj i kraj, ali mnoge računalne zadatke olakšava.

Drugo, UEFI-ov softver ima nekoliko dodatnih sigurnosnih značajki. Posebno treba istaknuti Secure Boot koji omogućuje pokretanje samo programa s digitalnim potpisom.

Ako je ovo isključeno i naiđete na rootkit, loše ćete se provesti. Secure Boot posebno je koristan alat u trenutnom dobu ransomwarea. Pogledajte sljedeći videozapis Sigurnog pokretanja koji se bavi izuzetno opasnim NotPetya ransomware-om:

NotPetya bi šifrirao sve na ciljnom sustavu da je sigurni sustav pokretanja bio isključen.

LoJax je sasvim drugačija zvijer. Suprotno ranijim izvješćima, čak i zaštićeno pokretanje ne može zaustaviti LoJax. Ažuriranje upravljačkog softvera UEFI izuzetno je važno. Postoje neki specijalizirani alati protiv rootkita Potpuni vodič za uklanjanje zlonamjernog softvera Potpuni vodič za uklanjanje zlonamjernog softvera Malware je ovih dana posvuda, a iskorjenjivanje zlonamjernog softvera iz vašeg sustava dugotrajan je postupak i zahtijevaju smjernice. Ako mislite da je vaše računalo zaraženo, ovo je vodič koji vam je potreban. , također, ali nije jasno mogu li se zaštititi od LoJaxa.

Međutim, kao i mnoge prijetnje s ovom razinom sposobnosti, vaše računalo je glavna meta. Napredni zlonamjerni softver uglavnom se fokusira na ciljeve na visokoj razini. Nadalje, LoJax ima naznake uključenosti aktera prijetnje nacionalnih država; još jedna velika šansa da LoJax neće utjecati na vas u kratkom roku. Uprkos tome, zlonamjerni softver ima način filtriranja u svijet. Ako cyber-kriminalci uoče uspješnu upotrebu LoJax-a, to može postati uobičajenije u redovitim napadima zlonamjernog softvera.

Kao i uvijek, ažurnost sustava jedan je od najboljih načina zaštite vašeg sustava. Velika je pomoć i pretplata na Malwarebytes Premium. 5 razloga za nadogradnju na Malwarebytes Premium: Da, vrijedi to 5 razloga za nadogradnju na Malwarebytes Premium: Da, to vrijedi Iako je besplatna verzija Malwarebytesa fantastična, premium verzija ima gomilu korisnih i vrijednih značajki.




Još ne komentari

O modernoj tehnologiji, jednostavnoj i pristupačnoj.
Vaš vodič u svijetu moderne tehnologije. Naučite kako koristiti tehnologije i uređaje koji nas okružuju svaki dan i naučite kako otkriti zanimljivosti na Internetu.