Mikä on venäläisten hakkereiden kehittämä "LoJax" UEFI Rootkit?

Mainos

Juurikoodi on erityisen ilkeä haittaohjelma. ”Tavallinen” haittaohjelma tarttuu latautuessasi käyttöjärjestelmään. Tilanne on edelleen huono, mutta kunnollisen virustorjuntaohjelman tulisi poistaa haittaohjelmat ja puhdistaa järjestelmäsi.

Päinvastoin, rootkit asentaa järjestelmän laiteohjelmistoon ja sallii haitallisen hyötykuorman asennuksen joka kerta, kun järjestelmä käynnistetään uudelleen.

Turvallisuustutkijat ovat huomanneet uuden juurikomitean version luonnossa nimeltään LoJax. Mikä erottaa tämän juurikoodin muista? No, se voi saastuttaa nykyaikaiset UEFI-pohjaiset järjestelmät vanhempien BIOS-pohjaisten järjestelmien sijaan. Ja se on ongelma.

LoJax UEFI Rootkit

ESET-tutkimus julkaistu tutkimusdokumentti, joka kuvaa hiljattain löydettyä juurikoodia LoJax (mikä on rootkit?), joka käyttää onnistuneesti uudelleen samannimisen kaupallisen ohjelmiston uudelleenkäyttöä. (Vaikka tutkimusryhmä kastoi haittaohjelman ”LoJax”, aito ohjelmisto on nimeltään “LoJack.”)

Uhkana on LoJax, joka selviää Windowsin täydellisestä uudelleenasennuksesta ja jopa kiintolevyn korvaamisesta.

Haittaohjelma selviää hyökkäämällä UEFI-laiteohjelmiston käynnistysjärjestelmään. muut rootkit voivat piiloutua ohjaimissa tai käynnistyssektoreissa Mikä on käynnistyspaketti ja on Nemesis aito uhka?Hakkerit etsivät edelleen tapoja häiritä järjestelmääsi, kuten käynnistyspaketti. Katsotaanpa mikä on käynnistyspaketti, miten Nemesis-versio toimii, ja pohdimme, mitä voit tehdä pysyäksesi selkeänä. Lue lisää , riippuen heidän koodauksestaan ​​ja hyökkääjän tarkoituksesta. LoJax kytkeytyy järjestelmän laiteohjelmistoon ja tartuttaa järjestelmän uudelleen, ennen kuin käyttöjärjestelmä edes latautuu.

Ainoa tunnettu menetelmä LoJax-haittaohjelmien poistamiseksi kokonaan on uuden laiteohjelmiston vilkkuminen epäiltyyn järjestelmään Kuinka päivittää UEFI BIOS Windows-käyttöjärjestelmässäUseimmat tietokoneen käyttäjät päivittävät koskaan BIOS-päivityksiä. Jos välität jatkuvuudesta, sinun on kuitenkin tarkistettava säännöllisesti, onko päivitys saatavana. Osoitamme sinulle kuinka päivittää UEFI BIOS turvallisesti. Lue lisää . Laiteohjelmistolamppu ei ole asia, josta useimmilla käyttäjillä on kokemusta. Vaikka onkin helpompaa kuin aikaisemmin, on silti merkittävää, että laiteohjelmiston vilkkuminen menee pieleen, mahdollisesti täyttäen kyseisen koneen.

Kuinka LoJax Rootkit toimii?

LoJax käyttää uudelleenpakattua versiota Absolute Software -ohjelman LoJack-varkaudenesto-ohjelmistosta. Alkuperäisen työkalun on tarkoitus olla pysyvä koko järjestelmän pyyhkimisessä tai kiintolevyn vaihdossa, jotta lisenssinsaaja voi seurata varastettua laitetta. Syyt työkalun urheiluun niin syvälle tietokoneelle ovat melko laillisia, ja LoJack on edelleen suosittu varkaudenestotuote täsmällisille ominaisuuksille.

Ottaen huomioon, että Yhdysvalloissa 97 prosenttia varastetuista kannettavista tietokoneista on koskaan toipunut, on ymmärrettävää, että käyttäjät haluavat lisäsuojaa niin kallialta sijoitukselta.

LoJax käyttää ytimen ohjainta, RwDrv.sys, päästäksesi BIOS / UEFI-asetuksiin. Ytimen ohjaimeen on asennettu RWEverything, laillinen työkalu, jota käytetään lukemaan ja analysoimaan matalan tason tietokoneasetuksia (bitteihin, joihin sinulla yleensä ei ole pääsyä). LoJax-rootkit-tartuntaprosessissa oli kolme muuta työkalua:

• Ensimmäinen työkalu siirtää tietoja matalan tason järjestelmäasetuksista (kopioitu RWEverythingistä) tekstitiedostoon. Järjestelmäsuojan ohittaminen haittaohjelmistopäivityksiltä edellyttää järjestelmän tuntemusta.
• Toinen työkalu "tallentaa kuvan järjestelmän laiteohjelmistosta tiedostoon lukemalla SPI-flash-muistin sisällön." SPI-flash-muisti isännöi UEFI / BIOS: ta.
• Kolmas työkalu lisää haitallisen moduulin firmware-kuvaan ja kirjoittaa sen sitten SPI-flash-muistiin.

Jos LoJax tajuaa, että SPI-flash-muisti on suojattu, se hyödyntää tunnettua haavoittuvuutta (CVE-2014-8273) käyttää sitä, jatkaa ja kirjoittaa juurihakemiston muistiin.

Mistä LoJax tuli?

ESET-tutkimusryhmä uskoo, että LoJax on kuuluisan venäläisen hakkerointiryhmän Fancy Bear / Sednit / Strontium / APT28 työ. Hakkerointiryhmä on vastuussa useista suurista hyökkäyksistä viime vuosina.

LoJax käyttää samoja komento- ja hallintapalvelimia kuin SedUploader - toista Sednit-takaoven haittaohjelmaa. LoJaxissa on myös linkkejä ja jälkiä muihin Sednit-haittaohjelmiin, mukaan lukien XAgent (toinen takaoven työkalu) ja XTunnel (suojattu verkon välitysväline).

Lisäksi ESET-tutkimuksessa havaittiin, että haittaohjelmien operaattorit “käyttivät erilaisia ​​komponentteja LoJax-haittaohjelma on suunnattu eräille Balkanin sekä Keski- ja Itä-Venäjän hallitusjärjestöille Euroopassa.”

LoJax ei ole ensimmäinen UEFI Rootkit

LoJax-uutiset saivat turvallisuusmaailman varmasti istumaan ja panemaan merkille. Se ei kuitenkaan ole ensimmäinen UEFI-juurikoodi. Hakkerointiryhmä (vahingollinen ryhmä, vain jos mietit) käytti UEFI / BIOS-juurikoodia vuonna 2015 pitämään etähallintajärjestelmän agentti asennettuna kohdejärjestelmiin.

Suurin ero Hacking Team UEFI -juurikoodin ja LoJaxin välillä on toimitusmenetelmä. Tuolloin turvallisuustutkijat ajattelivat, että hakkerointiryhmä vaatii fyysistä pääsyä järjestelmään firmware-tason tartunnan asentamiseksi. Tietenkin, jos jollakin on suora pääsy tietokoneeseesi, hän voi tietenkin tehdä mitä haluaa. Silti UEFI-juurikoodi on erityisen ilkeä.

Onko järjestelmääsi vaarassa LoJax?

Nykyaikaisilla UEFI-pohjaisilla järjestelmillä on useita selkeitä etuja verrattuna vanhempiin BIOS-pohjaisiin vastaaviin.

Ensinnäkin, he ovat uudempia. Uusi laitteisto ei ole kaikki ja loppuu kaikki, mutta se helpottaa monia laskentatehtäviä.

Toiseksi, UEFI-laiteohjelmistossa on myös muutama lisäsuojausominaisuus. Erityisen huomionarvoista on Secure Boot, joka sallii vain allekirjoitetulla digitaalisella allekirjoituksella varustettujen ohjelmien ajamisen.

Jos tämä on kytketty pois päältä ja kohtaat juurikoodin, sinulla on huono aika. Suojattu käynnistys on erityisen hyödyllinen työkalu myös nykyisellä ransomware-iällä. Katso seuraava video Secure Bootista, joka käsittelee erittäin vaarallista NotPetya-lunnaohjelmaa:

NotPetya olisi salannut kaiken kohdejärjestelmässä, jos Secure Boot olisi kytketty pois päältä.

LoJax on kokonaan erilainen peto. Toisin kuin aiemmissa raporteissa, edes Secure Boot ei voi pysäyttää LoJaxia. UEFI-laiteohjelmiston pitäminen ajan tasalla on erittäin tärkeää. On joitain erikoistuneita rootkit-vastaisia ​​työkaluja Täydellinen haittaohjelmien poisto-opasHaittaohjelmia on nykyään kaikkialla, ja haittaohjelmien poistaminen järjestelmästä on pitkä prosessi, joka vaatii ohjeita. Jos epäilet, että tietokoneesi on tartunnan saanut, tämä on tarvitsemasi opas. Lue lisää myös, mutta on epäselvää, pystyvätkö he suojaamaan LoJaxilta.

Kuten monet uudet tämän ominaisuuden tasot, tietokoneesi on kuitenkin tärkein kohde. Kehittyneet haittaohjelmat keskittyvät pääasiassa korkean tason kohteisiin. Lisäksi LoJaxilla on merkkejä kansallisvaltion uhkatoimijoiden osallistumisesta; toinen vahva mahdollisuus, että LoJax ei vaikuta sinuun lyhyellä aikavälillä. Haittaohjelmilla on kuitenkin tapa suodattua maailmaan. Jos verkkorikolliset havaitsevat LoJaxin onnistuneen käytön, siitä saattaa tulla yleisempi säännöllisissä haittaohjelmahyökkäyksissä.

Kuten koskaan, järjestelmän pitäminen ajan tasalla on yksi parhaista tavoista suojata järjestelmääsi. Malwarebytes Premium -tilaus on myös suuri apu. 5 syytä päivitykseen Malwarebytes Premium -sovellukseen: Kyllä, se on sen arvoinenVaikka Malwarebytesin ilmainen versio on mahtava, premium-versiossa on joukko hyödyllisiä ja hyödyllisiä ominaisuuksia. Lue lisää