Čo je Rootkit „LoJax“ UEFI vyvinutý ruskými hackermi?

Reklama

Rootkit je obzvlášť nepríjemný typ škodlivého softvéru. Po vstupe do operačného systému sa načíta „bežná“ malware. Je to stále zlá situácia, ale slušný antivírus by mal malware odstrániť a vyčistiť váš systém.

Naopak, rootkit sa inštaluje do firmvéru systému a umožňuje inštaláciu škodlivého užitočného zaťaženia pri každom reštarte systému.

Vedci v oblasti bezpečnosti zaznamenali vo voľnej prírode nový variant rootkitu s názvom LoJax. Čo odlišuje tento rootkit od ostatných? Namiesto starších systémov založených na systéme BIOS môže infikovať moderné systémy založené na UEFI. A to je problém.

Rootkit LoJax UEFI

ESET Research uverejnený výskumný dokument, ktorý podrobne popisuje LoJax, novo objavený rootkit (čo je rootkit?), ktoré úspešne prehodnocujú komerčný softvér s rovnakým názvom. (Aj keď výskumný tím pokrstil malware „LoJax“, originálny softvér sa nazýva „LoJack“.)

Navyše k tejto hrozbe môže LoJax prežiť kompletnú preinštalovanie Windows a dokonca aj výmenu pevného disku.

Malvér prežije útokom na bootovací systém firmvéru UEFI. ostatné

rootkity sa môžu skrývať v ovládačoch alebo zavádzacích sektoroch Čo je topánka a je Nemesis skutočnou hrozbou?Hackeri naďalej hľadajú spôsoby, ako narušiť váš systém, napríklad bootkit. Pozrime sa, čo je bootkit, ako funguje variant Nemesis, a zvážte, čo môžete urobiť, aby ste ostali jasní. Čítaj viac , v závislosti od ich kódovania a zámeru útočníka. LoJax sa zasunie do firmvéru systému a znovu infikuje systém pred zavedením OS.

Zatiaľ je jedinou známou metódou úplného odstránenia škodlivého softvéru LoJax blikanie nového firmvéru cez podozrivý systém Ako aktualizovať UEFI BIOS v systéme WindowsVäčšina používateľov počítačov používa systém BIOS bez aktualizácie. Ak vám však záleží na stabilite, mali by ste pravidelne kontrolovať, či je k dispozícii aktualizácia. Ukážeme vám, ako bezpečne aktualizovať systém UEFI BIOS. Čítaj viac . Flash firmware nie je niečo, s čím má väčšina používateľov skúsenosti. Aj keď je to jednoduchšie ako v minulosti, stále existuje významná skutočnosť, že blikanie firmvéru sa pokazí, čo môže spôsobiť poškodenie príslušného zariadenia.

Ako funguje LoJax Rootkit?

LoJax používa prebalenú verziu anti-krádežového softvéru LoJack Absolute Software. Pôvodný nástroj by mal byť trvalý počas celého vymazania systému alebo výmeny pevného disku, aby užívateľ licencie mohol sledovať ukradnuté zariadenie. Dôvody, prečo sa nástroj zasúva hlboko do počítača, sú dosť legitímne a LoJack je pre tieto presné vlastnosti stále obľúbeným produktom proti krádeži.

Vzhľadom na to, že v USA je 97 percent ukradnutých notebookov nikdy sa nezotavil, je pochopiteľné, že používatelia požadujú mimoriadnu ochranu pred takou drahou investíciou.

LoJax používa ovládač jadra, RwDrv.sys, pre prístup k nastaveniam BIOS / UEFI. Ovládač jadra je dodávaný s programom RWEverything, legitímnym nástrojom, ktorý sa používa na čítanie a analýzu nastavení počítača nízkej úrovne (bity, ku ktorým zvyčajne nemáte prístup). V procese infekcie rootkitov LoJax boli ďalšie tri nástroje:

• Prvý nástroj vypíše informácie o systémových nastaveniach nízkej úrovne (skopírovaných z RWEverything) do textového súboru. Obídenie ochrany systému pred škodlivými aktualizáciami firmvéru vyžaduje znalosť systému.
• Druhý nástroj „ukladá obraz systémového firmvéru do súboru načítaním obsahu pamäte SPI flash“. SPI flash pamäť je hostiteľom UEFI / BIOS.
• Tretí nástroj pridá škodlivý modul do obrazu firmvéru a potom ho zapíše späť do pamäte SPI flash.

Ak si LoJax uvedomí, že je chránená pamäť SPI flash, zneužíva známú zraniteľnosť (CVE-2014-8273) na prístup, potom pokračuje a zapisuje rootkit do pamäte.

Odkiaľ LoJax pochádza?

Tím spoločnosti ESET Research verí, že LoJax je prácou neslávnej ruskej hackerskej skupiny Fancy Bear / Sednit / Strontium / APT28. Skupina hackerov je v posledných rokoch zodpovedná za niekoľko veľkých útokov.

LoJax používa rovnaké príkazy a riadiace servery ako SedUploader - ďalší backnit malware zo siete Sednit. LoJax má tiež prepojenia a stopy iného škodlivého softvéru Sednit, vrátane XAgent (ďalší nástroj pre zadné vrátka) a XTunnel (bezpečný nástroj proxy pre sieťové pripojenie).

Výskum ESET okrem toho zistil, že operátori škodlivého softvéru „používali rôzne komponenty systému Windows“ LoJax malware zameraný na niekoľko vládnych organizácií na Balkáne, ako aj na strednú a východnú krajinu Európa. "

LoJax nie je prvý rootkit UEFI

Správa LoJaxa určite spôsobila, že svet bezpečnosti sa posadil a vzal na vedomie. Nie je to však prvý rootkit UEFI. Hackingový tím (nebezpečná skupina, len pre prípad, že by vás zaujímalo) používal rootkit UEFI / BIOS v roku 2015 ponechať agenta diaľkového ovládania nainštalovaného v cieľových systémoch.

Hlavný rozdiel medzi hackerským tímom UEFI rootkit a LoJax je spôsob doručenia. V tom čase si vedci v oblasti bezpečnosti mysleli, že tím hackerov vyžaduje fyzický prístup k systému na inštaláciu infekcie na úrovni firmvéru. Samozrejme, ak má niekto priamy prístup k vášmu počítaču, môže urobiť, čo chce. Napriek tomu je rootkit UEFI mimoriadne nepríjemný.

Ohrozuje váš systém LoJax?

Moderné systémy založené na UEFI majú oproti svojim starším náprotivkom založeným na systéme BIOS niekoľko rôznych výhod.

Jednak sú novšie. Nový hardvér nie je všetko a koniec všetkého, ale uľahčuje mnoho výpočtových úloh.

Po druhé, firmvér UEFI obsahuje aj niekoľko ďalších bezpečnostných funkcií. Najmä poznámka je Secure Boot, čo umožňuje spustenie iba programov s podpísaným digitálnym podpisom.

Ak je táto funkcia vypnutá a narazíte na rootkit, budete mať zlý čas. Secure Boot je obzvlášť užitočným nástrojom aj v súčasnom veku ransomware. Pozrite si nasledujúce video Secure Boot, ktoré sa zaoberá mimoriadne nebezpečným ransomwareom NotPetya:

NotPetya by šifrovala všetko v cieľovom systéme, ak by bolo vypnuté Secure Boot.

LoJax je úplne iný druh zvierat. Na rozdiel od predchádzajúcich správ nedokáže LoJax zastaviť ani Secure Boot. Aktualizácia firmvéru UEFI je mimoriadne dôležitá. Existujú niektoré špecializované anti-rootkitové nástroje Kompletná príručka na odstránenie škodlivého softvéruŠkodlivý softvér je dnes všade a odstránenie škodlivého softvéru z vášho systému je zdĺhavý proces, ktorý vyžaduje radu. Ak sa domnievate, že je váš počítač napadnutý, potrebujete tohto sprievodcu. Čítaj viac , ale nie je jasné, či môžu chrániť pred LoJaxom.

Rovnako ako mnoho hrozieb s touto úrovňou schopností je váš počítač hlavným cieľom. Pokročilý malware sa zameriava predovšetkým na ciele na vysokej úrovni. LoJax má okrem toho náznaky angažovanosti aktérov hrozieb v jednotlivých štátoch; ďalšia silná šanca, ktorú vám LoJax v krátkom čase neovplyvní. Malvér má však spôsob, ako sa odfiltrovať do sveta. Ak kybernetickí zločinci zistia úspešné použitie LoJaxu, môže sa stať bežnejším pri pravidelných útokoch škodlivého softvéru.

Ako vždy, aktualizácia systému je jedným z najlepších spôsobov ochrany systému. Veľkou pomocou je aj predplatné služby Malwarebytes Premium. 5 dôvodov na inováciu na Malwarebytes Premium: Áno, je to za toZatiaľ čo bezplatná verzia Malwarebytes je úžasná, prémiová verzia má veľa užitočných a užitočných funkcií. Čítaj viac