Какво е "LoJax" UEFI Rootkit, разработен от руски хакери?

реклама

А rootkit е особено гаден тип злонамерен софтуер. „Редовна“ инфекция със злонамерен софтуер се зарежда при влизане в операционната система. Все още е лоша ситуация, но приличен антивирус трябва да премахне зловредния софтуер и да почисти вашата система.

И обратно, rootkit се инсталира на фърмуера на вашата система и позволява инсталирането на злонамерен полезен товар всеки път, когато рестартирате системата си.

Изследователите по сигурността забелязаха нов вариант на руткит в природата, наречен LoJax. Какво отличава този rootkit от другите? Е, може да зарази съвременни системи, базирани на UEFI, а не по-стари BIOS базирани системи. И това е проблем.

Rootkit на LoJax UEFI

ESET Research публикувано изследователска книга, в която подробно се описва LoJax, новооткрит руткит (какво е руткит?), който успешно пренасочва търговски софтуер със същото име. (Въпреки че изследователският екип кръщава зловредния софтуер „LoJax“, истинският софтуер носи името „LoJack.“)

Като добавим към заплахата, LoJax може да преживее цялостна преинсталация на Windows и дори подмяна на твърдия диск.

Зловредният софтуер оцелява, като атакува системата за зареждане на фърмуера на UEFI. друг rootkits може да се скрие в драйвери или зареждащи сектори Какво е Bootkit и немезида е истинска заплаха?Хакерите продължават да намират начини да разрушат вашата система, като например bootkit. Нека да разгледаме какво представлява буккит, как работи вариантът на Nemesis, и помислим какво можеш да направиш, за да останеш ясно. Прочетете още , в зависимост от тяхното кодиране и намерението на нападателя. LoJax се свързва с фърмуера на системата и инфектира повторно системата, преди OS дори да се зареди.

Засега единственият известен метод за пълно премахване на зловредния софтуер LoJax е мига нов фърмуер над заподозрената система Как да актуализирате UEFI BIOS в WindowsПовечето потребители на компютър отиват без да актуализират някога своя BIOS. Ако обаче се грижите за постоянната стабилност, трябва периодично да проверявате дали има актуализация. Показваме ви как безопасно да актуализирате вашия UEFI BIOS. Прочетете още . Светкавицата на фърмуера не е нещо, с което повечето потребители имат опит. Въпреки че е по-лесно, отколкото в миналото, все още има значение, че мигането на фърмуер ще се обърка, което потенциално ще затрудни въпросната машина.

Как работи LoJax Rootkit?

LoJax използва преопакована версия на софтуера LoJack за защита от кражба на Absolute Software. Оригиналният инструмент е предназначен да е постоянен по време на изтриване на системата или замяна на твърдия диск, така че лицензополучателят може да проследи откраднато устройство. Причините за нахлуването на инструмента толкова дълбоко в компютъра са доста легитимни, а LoJack все още е популярен продукт против кражби за тези точни качества.

При положение, че в САЩ 97 процента са откраднати лаптопи никога не се възстанови, разбираемите потребители искат допълнителна защита за толкова скъпа инвестиция.

LoJax използва драйвер на ядрото, RwDrv.sys, за достъп до настройките на BIOS / UEFI. Драйверът на ядрото е снабден с RWEverything, легитимен инструмент, използван за четене и анализ на компютърни настройки на ниско ниво (битове, до които обикновено нямате достъп). В процеса на заразяване с LoJax rootkit имаше още три инструмента:

• Първият инструмент изхвърля информация за системните настройки на ниско ниво (копирана от RWEverything) в текстов файл. Преминаването на защитата на системата срещу злонамерени актуализации на фърмуера изисква познаване на системата.
• Вторият инструмент „записва изображение на системния фърмуер във файл, като чете съдържанието на SPI флаш паметта“. SPI флаш паметта хоства UEFI / BIOS.
• Трети инструмент добавя зловредния модул към изображението на фърмуера, след което го записва обратно в SPI флаш паметта.

Ако LoJax осъзнае, че SPI флаш паметта е защитена, тя използва известна уязвимост (CVE-2014-8273) за достъп до него, след това продължава и записва rootkit в паметта.

Откъде дойде LoJax?

Екипът на ESET Research смята, че LoJax е дело на скандалната хакерска група Fancy Bear / Sednit / Strontium / APT28. Хакерската група е отговорна за няколко големи атаки през последните години.

LoJax използва същите сървъри за управление и управление като SedUploader - друг злонамерен софтуер за заден ход на Sednit. LoJax също има връзки и следи от други зловредни програми на Sednit, включително XAgent (друг инструмент за заден ход) и XTunnel (инструмент за прокси мрежови прокси).

Освен това, проучването на ESET установи, че операторите на зловреден софтуер „са използвали различни компоненти на LoJax злонамерен софтуер за насочване към няколко правителствени организации на Балканите, както и в Централен и Източен Европа ".

LoJax не е първият Rootkit на UEFI

Новината за LoJax със сигурност накара света на сигурността да седне и да се отбележи. Това обаче не е първият руткит на UEFI. Екипът на хакерите (злонамерена група, само в случай, че се чудите) използваше UEFI / BIOS rootkit още през 2015 г., за да поддържате системния агент на дистанционно управление, инсталиран на целевите системи.

Основната разлика между рутикита на UEFI на Hacking Team и LoJax е методът за доставка. По онова време изследователите по сигурността смятат, че екипът на Hacking изисква физически достъп до система, за да инсталира инфекция на ниво фърмуер. Разбира се, ако някой има директен достъп до вашия компютър, той може да прави каквото иска. Все пак UEFI rootkit е особено гаден.

Рискова ли е вашата система от LoJax?

Съвременните системи, базирани на UEFI, имат няколко различни предимства пред по-старите си BIOS базирани колеги.

За един те са по-нови. Новият хардуер не е всичко и не е всичко, но прави много компютърни задачи по-лесни.

Второ, UEFI-фърмуерът също има няколко допълнителни функции за защита. Особено забележимо е Secure Boot, което позволява да се стартират само програми с подписан цифров подпис.

Ако това е изключено и срещнете rootkit, ще ви е лошо. Secure Boot е особено полезен инструмент в настоящата епоха на издирване. Вижте следното видео от Secure Boot, занимаващо се с изключително опасния откъм софтуер NotPetya:

NotPetya щял да шифрова всичко в целевата система, ако Безопасната зареждане беше изключена.

LoJax е съвсем различен вид звяр. Противно на по-ранните отчети, дори Secure Boot не може да спре LoJax. Актуализирането на вашия UEFI фърмуер е изключително важно. Има някои специализирани инструменти против руткит Пълното ръководство за премахване на злонамерен софтуерВ наши дни злонамереният софтуер е навсякъде и премахването на злонамерен софтуер от вашата система е продължителен процес, изискващ ръководство. Ако смятате, че компютърът ви е заразен, това е ръководството, от което се нуждаете. Прочетете още също, но не е ясно дали те могат да защитят срещу LoJax.

Въпреки това, като много заплахи с това ниво на способности, вашият компютър е основна цел. Разширеният зловреден софтуер се фокусира предимно върху целите на високо ниво. Освен това LoJax има индикации за участие на участници в заплаха за национална държава; още една голяма вероятност LoJax няма да ви повлияе в краткосрочен план. Това каза, че зловредният софтуер има начин да се филтрира в света. Ако киберпрестъпниците забелязват успешната употреба на LoJax, това може да стане по-често срещано при редовни атаки на злонамерен софтуер.

Както винаги, актуализирането на вашата система е един от най-добрите начини да защитите системата си. Абонамент за Malwarebytes Premium също е от голяма полза. 5 причини за надграждане до Malwarebytes Premium: Да, заслужава сиДокато безплатната версия на Malwarebytes е страхотна, премиум версията има куп полезни и стойностни функции. Прочетете още