Care este "LoJax" Rootkit UEFI dezvoltat de hackerii ruși?

Publicitate

Un rootkit este un tip de malware deosebit de urât. O infecție malware „obișnuită” se încarcă atunci când intri în sistemul de operare. Este încă o situație proastă, dar un antivirus decent ar trebui să înlăture malware și să vă curețe sistemul.

În schimb, un rootkit se instalează pe firmware-ul sistemului și permite instalarea unei încărcări utile dăunătoare de fiecare dată când reporniți sistemul.

Cercetătorii de securitate au descoperit o nouă variantă rootkit în sălbăticie, numită LoJax. Ce diferențiază acest rootkit de ceilalți? Ei bine, poate infecta sisteme moderne bazate pe UEFI, mai degrabă decât sisteme mai vechi bazate pe BIOS. Și asta este o problemă.

Rootkit LoJax UEFI

Cercetare ESET publicat o lucrare de cercetare care detaliază LoJax, un rootkit recent descoperit (ce este un rootkit?) care re-realizează cu succes un software comercial cu același nume. (Deși echipa de cercetare a botezat programul malware „LoJax”, software-ul autentic este numit „LoJack”.)

Adăugând la amenințare, LoJax poate supraviețui unei reinstalări complete de Windows și chiar a înlocuirii hard disk-ului.

Programul malware supraviețuiește atacând sistemul de încărcare a firmware-ului UEFI. Alte rootkit-urile s-ar putea ascunde în drivere sau în sectoarele de pornire Ce este un Bootkit și Nemesis este o amenințare autentică?Hackerii continuă să găsească modalități de a vă perturba sistemul, cum ar fi bootkit-ul. Să ne uităm la ce este un bootkit, cum funcționează varianta Nemesis și să luăm în considerare ce puteți face pentru a rămâne clar. Citeste mai mult , în funcție de codarea lor și de intenția atacatorului. LoJax se conectează la firmware-ul sistemului și re-infectează sistemul înainte de a se încărca chiar și sistemul de operare.

Deocamdată, singura metodă cunoscută pentru a elimina complet malware-ul LoJax este intermitent nou firmware peste sistemul suspect Cum să vă actualizați BIOS-ul UEFI în WindowsMajoritatea utilizatorilor de PC-uri merg fără să își actualizeze vreodată BIOS-ul. Cu toate acestea, dacă vă pasă de stabilitatea continuă, ar trebui să verificați periodic dacă există o actualizare disponibilă. Vă arătăm cum să actualizați în siguranță BIOS-ul UEFI. Citeste mai mult . Un flash firmware nu este ceva cu care utilizatorii au experiență. Deși este mai ușor decât în ​​trecut, există încă o semnificație a faptului că intermiterea unui firmware nu va merge bine, potențial blocând mașina în cauză.

Cum funcționează LoJax Rootkit?

LoJax utilizează o versiune reambalată a software-ului anti-furt LoJack Absolute Software. Instrumentul original este menit să fie persistent pe toată durata ștergerii sistemului sau înlocuirea hard disk-ului, astfel încât licențiatul să poată urmări un dispozitiv furat. Motivele pentru care instrumentul se aruncă atât de adânc în computer sunt destul de legitime, iar LoJack este încă un produs anti-furt popular pentru aceste calități exacte.

Având în vedere că, în SUA, 97% dintre laptopurile furate sunt niciodată recuperată, este de înțeles că utilizatorii doresc o protecție suplimentară pentru o investiție atât de costisitoare.

LoJax folosește un driver de kernel, RwDrv.sys, pentru a accesa setările BIOS / UEFI. Driverul de kernel este livrat cu RWEverything, un instrument legitim utilizat pentru a citi și analiza setările computerului la nivel scăzut (biți la care în mod normal nu aveți acces). În procesul de infecție rootkit LoJax au existat alte trei instrumente:

• Primul instrument descarcă informații despre setările sistemului de nivel scăzut (copiate din RWEverything) într-un fișier text. Ovitarea protecției sistemului împotriva actualizărilor de firmware dăunătoare necesită cunoașterea sistemului.
• Al doilea instrument „salvează o imagine a firmware-ului sistemului într-un fișier citind conținutul memoriei flash SPI.” Memoria flash SPI găzduiește UEFI / BIOS.
• Un al treilea instrument adaugă modulul rău intenționat la imaginea firmware-ului, apoi îl scrie înapoi în memoria flash SPI.

Dacă LoJax realizează că memoria flash SPI este protejată, exploatează o vulnerabilitate cunoscută (CVE-2014-8273) pentru a-l accesa, apoi continuă și scrie rootkit-ul în memorie.

De unde a venit LoJax?

Echipa de cercetare ESET consideră că LoJax este opera infamului grup de ruși de hacking Fancy Bear / Sednit / Strontium / APT28. Grupul de hacking este responsabil pentru mai multe atacuri majore din ultimii ani.

LoJax folosește aceleași servere de comandă și control ca SedUploader - un alt malware din spate Sednit. LoJax are, de asemenea, legături și urme ale altor malware Sednit, inclusiv XAgent (un alt instrument de backdoor) și XTunnel (un instrument proxy de rețea sigur).

În plus, cercetarea ESET a constatat că operatorii de programe malware „au folosit diferite componente ale Programul malware LoJax pentru a direcționa câteva organizații guvernamentale din Balcani, precum și Centrale și de Est Europa."

LoJax nu este primul Rootkit UEFI

Știrile despre LoJax au determinat cu siguranță lumea securității să se ridice și să ia notă. Cu toate acestea, nu este primul rootkit UEFI. Echipa de hacking (un grup rău intenționat, doar în caz că vă întrebați) folosea un rootkit UEFI / BIOS în 2015 pentru a menține un agent de sistem de control de la distanță instalat pe sistemele țintă.

Diferența majoră între rootkit-ul The Hacking Team UEFI și LoJax este metoda de livrare. La vremea respectivă, cercetătorii de securitate au considerat că echipa de hacking a necesitat acces fizic la un sistem pentru a instala infecția la nivel de firmware. Desigur, dacă cineva are acces direct la computer, poate face ceea ce își dorește. Totuși, rootkit-ul UEFI este deosebit de urât.

Sistemul dvs. este în pericol de la LoJax?

Sistemele moderne bazate pe UEFI prezintă mai multe avantaje distincte față de omologii lor mai vechi din BIOS.

Pentru unul, sunt mai noi. Noul hardware nu este totul și final, dar ușurează multe sarcini de calcul.

În al doilea rând, firmware-ul UEFI are și câteva caracteristici suplimentare de securitate. Este de remarcat în special Secure Boot, care permite rularea numai a programelor cu semnătura digitală.

Dacă aceasta este dezactivată și întâlnești un rootkit, vei avea parte de un moment rău. Secure Boot este un instrument deosebit de util în epoca actuală a ransomware-ului. Vedeți următorul videoclip al Secure Boot care se ocupă de ransomware-ul NotPetya extrem de periculos:

NotPetya ar fi criptat totul pe sistemul țintă dacă Secure Boot a fost oprit.

LoJax este un alt tip de bestie cu totul. Spre deosebire de rapoartele anterioare, chiar și Secure Boot nu poate opri LoJax. Menținerea actualizată a firmware-ului UEFI este extrem de importantă. Sunt unele instrumente specializate anti-rootkit Ghidul complet de eliminare a programelor malwareProgramele malware sunt peste tot în aceste zile și eradicarea programelor malware din sistemul dvs. este un proces îndelungat, care necesită îndrumări. Dacă credeți că computerul dvs. este infectat, acesta este ghidul de care aveți nevoie. Citeste mai mult de asemenea, dar nu este clar dacă pot proteja împotriva LoJax.

Cu toate acestea, ca multe amenințări cu acest nivel de capacitate, computerul dvs. este o țintă principală. Programele malware avansate se concentrează în principal pe ținte la nivel înalt. Mai mult, LoJax are indicațiile privind implicarea actorilor amenințării statelor naționale; o altă șansă puternică LoJax nu vă va afecta pe termen scurt. Acestea fiind spuse, malware-ul are o modalitate de filtrare în lume. Dacă infractorii cibernetici observă utilizarea cu succes a LoJax, ar putea deveni mai obișnuit în atacurile malware obișnuite.

Ca oricând, menținerea sistemului actualizat este una dintre cele mai bune modalități de a vă proteja sistemul. Un abonament Malwarebytes Premium este de asemenea de mare ajutor. 5 motive pentru a face upgrade la Malwarebytes Premium: Da, merităÎn timp ce versiunea gratuită a Malwarebytes este nemaipomenită, versiunea premium are o mulțime de funcții utile și demne. Citeste mai mult