Strona główna Bezpieczeństwo Co to jest rootkit „LoJax” UEFI opracowany przez rosyjskich hakerów?

Co to jest rootkit „LoJax” UEFI opracowany przez rosyjskich hakerów?

  • Joseph Goodman
  • 0
  • 2828
  • 110
Reklama

Rootkit to szczególnie paskudny rodzaj złośliwego oprogramowania. ZA “regularny” infekcja złośliwym oprogramowaniem ładuje się po wejściu do systemu operacyjnego. Nadal jest to zła sytuacja, ale przyzwoity program antywirusowy powinien usunąć złośliwe oprogramowanie i wyczyścić system.

I odwrotnie, rootkit instaluje się w oprogramowaniu systemowym systemu i umożliwia instalację złośliwego ładunku przy każdym ponownym uruchomieniu systemu.

Badacze bezpieczeństwa zauważyli na wolności nowy wariant rootkita o nazwie LoJax. Co wyróżnia ten rootkit na tle innych? Cóż, może infekować nowoczesne systemy oparte na UEFI, a nie starsze systemy oparte na BIOS-ie. I to jest problem.

Rootkit LoJax UEFI

ESET Research opublikował artykuł badawczy opisujący LoJax, nowo odkrytego rootkita (czym jest rootkit?), Który z powodzeniem zmienia przeznaczenie komercyjnego oprogramowania o tej samej nazwie. (Chociaż zespół badawczy ochrzcił złośliwe oprogramowanie “LoJax,” oryginalne oprogramowanie zostało nazwane “LoJack.”)

Dodając do tego zagrożenie, LoJax może przetrwać całkowitą ponowną instalację systemu Windows, a nawet wymianę dysku twardego.

Złośliwe oprogramowanie przetrwa, atakując system rozruchowy oprogramowania układowego UEFI. Inne rootkity mogą ukrywać się w sterownikach lub sektorach rozruchowych Co to jest Bootkit i czy Nemesis jest prawdziwym zagrożeniem? Co to jest bootkit i czy Nemesis jest prawdziwym zagrożeniem? Hakerzy nadal znajdują sposoby na zakłócenie działania systemu, takie jak bootkit. Spójrzmy, czym jest bootkit, jak działa wariant Nemesis i zastanówmy się, co możesz zrobić, aby pozostać czystym. , w zależności od ich kodowania i intencji atakującego. LoJax podpina się do oprogramowania układowego systemu i ponownie infekuje system, zanim system operacyjny się załaduje.

Jak dotąd jedyną znaną metodą całkowitego usunięcia złośliwego oprogramowania LoJax jest flashowanie nowego oprogramowania układowego w podejrzanym systemie Jak zaktualizować system UEFI BIOS w systemie Windows Jak zaktualizować system UEFI BIOS w systemie Windows Większość użytkowników komputerów PC nie korzysta z aktualizacji BIOS-u. Jeśli zależy ci na utrzymaniu stabilności, powinieneś okresowo sprawdzać, czy aktualizacja jest dostępna. Pokażemy, jak bezpiecznie zaktualizować system UEFI BIOS. . Flash oprogramowania układowego nie jest czymś, co ma większość użytkowników. Chociaż łatwiejsze niż w przeszłości, nadal jest znaczące, że flashowanie oprogramowania układowego pójdzie nie tak, potencjalnie powodując uszkodzenie danego komputera.

Jak działa rootkit LoJax?

LoJax wykorzystuje przepakowaną wersję oprogramowania antykradzieżowego LoJack firmy Absolute Software. Oryginalne narzędzie ma być trwałe podczas czyszczenia systemu lub wymiany dysku twardego, aby licencjobiorca mógł śledzić skradzione urządzenie. Przyczyny zagłębiania narzędzia tak głęboko w komputerze są dość uzasadnione, a LoJack nadal jest popularnym produktem antykradzieżowym o tych właśnie właściwościach.

Biorąc pod uwagę, że w USA 97 procent skradzionych laptopów nigdy nie jest odzyskiwanych, zrozumiałe jest, że użytkownicy chcą dodatkowej ochrony przy tak drogiej inwestycji.

LoJax używa sterownika jądra, RwDrv.sys, aby uzyskać dostęp do ustawień BIOS / UEFI. Sterownik jądra jest dołączony do RWEverything, legalnego narzędzia służącego do odczytu i analizy ustawień komputera niskiego poziomu (do bitów, do których normalnie nie masz dostępu). W procesie infekcji rootkitem LoJax były jeszcze trzy inne narzędzia:

  • Pierwsze narzędzie zrzuca informacje o ustawieniach systemowych niskiego poziomu (skopiowanych z RWEverything) do pliku tekstowego. Obejście ochrony systemu przed złośliwymi aktualizacjami oprogramowania układowego wymaga znajomości systemu.
  • Drugie narzędzie “zapisuje obraz oprogramowania systemowego do pliku, czytając zawartość pamięci flash SPI.” Pamięć flash SPI obsługuje UEFI / BIOS.
  • Trzecie narzędzie dodaje złośliwy moduł do obrazu oprogramowania układowego, a następnie zapisuje go z powrotem do pamięci flash SPI.

Jeśli LoJax zda sobie sprawę, że pamięć flash SPI jest chroniona, wykorzystuje znaną lukę (CVE-2014-8273), aby uzyskać do niej dostęp, a następnie kontynuuje i zapisuje rootkita w pamięci.

Skąd się wziął LoJax?

Zespół badawczy ESET uważa, że ​​LoJax jest dziełem niesławnej rosyjskiej grupy hakerskiej Fancy Bear / Sednit / Strontium / APT28. Grupa hakerska jest odpowiedzialna za kilka poważnych ataków w ostatnich latach.

LoJax używa tych samych serwerów dowodzenia i kontroli, co SedUploader - kolejne złośliwe oprogramowanie typu backdoor Sednit. LoJax ma również linki i ślady innych szkodliwych programów Sednit, w tym XAgent (inne narzędzie backdoor) i XTunnel (bezpieczne narzędzie proxy sieci).

Ponadto badania ESET wykazały, że operatorzy złośliwego oprogramowania “wykorzystywał różne komponenty szkodliwego oprogramowania LoJax, aby atakować kilka organizacji rządowych na Bałkanach, a także w Europie Środkowej i Wschodniej.”

LoJax nie jest pierwszym rootkitem UEFI

Wiadomość o LoJax z pewnością spowodowała, że ​​świat bezpieczeństwa usiadł i odnotował. Nie jest to jednak pierwszy rootkit UEFI. Zespół ds. Włamań (złośliwa grupa, na wypadek, gdybyś się zastanawiał) używał rootkita UEFI / BIOS w 2015 roku, aby utrzymać agenta systemu zdalnego sterowania zainstalowanego w systemach docelowych.

Główną różnicą między rootkitem UEFI The Hacking Team a LoJax jest metoda dostarczania. W tym czasie analitycy bezpieczeństwa sądzili, że zespół hakerów wymagał fizycznego dostępu do systemu w celu zainstalowania infekcji na poziomie oprogramowania układowego. Oczywiście, jeśli ktoś ma bezpośredni dostęp do twojego komputera, może robić, co chce. Mimo to rootkit UEFI jest szczególnie nieprzyjemny.

Czy Twój system jest zagrożony przez LoJax?

Nowoczesne systemy oparte na UEFI mają kilka wyraźnych zalet w porównaniu ze starszymi odpowiednikami opartymi na systemie BIOS.

Po pierwsze, są nowsze. Nowy sprzęt to nie wszystko i koniec, ale ułatwia wiele zadań obliczeniowych.

Po drugie, oprogramowanie układowe UEFI ma również kilka dodatkowych funkcji bezpieczeństwa. Na szczególną uwagę zasługuje Bezpieczny rozruch, który pozwala na uruchamianie tylko programów z podpisanym podpisem cyfrowym.

Jeśli to jest wyłączone i napotkasz rootkita, będziesz miał zły czas. Bezpieczne uruchamianie jest również szczególnie przydatnym narzędziem w obecnej dobie oprogramowania ransomware. Obejrzyj następujący film z Bezpiecznego rozruchu dotyczącego wyjątkowo niebezpiecznego ransomware NotPetya:

NotPetya zaszyfrowałby wszystko w systemie docelowym, gdyby Secure Boot został wyłączony.

LoJax to zupełnie inny rodzaj bestii. W przeciwieństwie do wcześniejszych raportów, nawet Secure Boot nie może zatrzymać LoJax. Aktualizowanie oprogramowania układowego UEFI jest niezwykle ważne. Istnieją pewne wyspecjalizowane narzędzia do usuwania rootkitów. Kompletny przewodnik usuwania złośliwego oprogramowania Kompletny przewodnik usuwania złośliwego oprogramowania Malware występuje wszędzie w dzisiejszych czasach, a usuwanie złośliwego oprogramowania z systemu jest procesem długotrwałym, wymagającym wskazówek. Jeśli uważasz, że Twój komputer jest zainfekowany, potrzebujesz tego poradnika. , ale nie jest jasne, czy są w stanie ochronić się przed LoJax.

Jednak, podobnie jak wiele zagrożeń o takim poziomie zdolności, komputer jest głównym celem. Zaawansowane złośliwe oprogramowanie koncentruje się głównie na celach wysokiego poziomu. Ponadto LoJax wykazuje oznaki zaangażowania podmiotu grożącego państwem; kolejna duża szansa, że ​​LoJax nie wpłynie na ciebie w krótkim okresie. To powiedziawszy, złośliwe oprogramowanie ma sposób na przeniknięcie do świata. Jeśli cyberprzestępcy zauważą udane użycie LoJax, może stać się bardziej powszechny w regularnych atakach złośliwego oprogramowania.

Jak zawsze, aktualizowanie systemu jest jednym z najlepszych sposobów ochrony systemu. Subskrypcja Malwarebytes Premium również jest świetną pomocą. 5 powodów, aby uaktualnić do Malwarebytes Premium: Tak, warto. 5 powodów, aby uaktualnić do Malwarebytes Premium: Tak, warto. Chociaż darmowa wersja Malwarebytes jest niesamowita, wersja premium ma wiele przydatnych i wartościowych funkcji.




Jeszcze bez komentarzy

Nanoleaf Light Panels Inteligentne oświetlenie nie ma nic lepszego niż to
Recenzje produktu
Ten robot-robot ma życie własnej recenzji Anki Cozmo
Recenzje produktu
Recenzja tabletu Chuwi SurBook Mini 2-w-1
Recenzje produktu
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.