Securitate

Ce este LoJax UEFI Rootkit dezvoltat de hackerii ruși?

Ce este LoJax UEFI Rootkit dezvoltat de hackerii ruși? / Securitate

Un rootkit este un tip de malware deosebit de urât. A “regulat” infectarea cu malware atunci când intri în sistemul de operare. Este încă o situație proastă, dar un antivirus decent ar trebui să elimine malware-ul și să vă curățe sistemul.

În schimb, un rootkit se instalează în firmware-ul sistemului dvs. și permite instalarea unui încărcări utile malware de fiecare dată când reporniți sistemul.

Cercetătorii în domeniul securității au văzut o variantă nouă de rootkit în sălbăticie, numită LoJax. Ce determină acest rootkit în afară de ceilalți? Ei bine, pot infecta sistemele moderne bazate pe UEFI, mai degrabă decât sistemele mai vechi bazate pe BIOS. Și aceasta este o problemă.

Logex UEFI Rootkit

ESET Research a publicat o lucrare de cercetare care detaliază LoJax, un rootkit nou descoperit (ce este un rootkit?) Care reușesc să redevină un software comercial cu același nume. (Deși echipa de cercetare a botezat malware-ul “LoJax,” software-ul original este numit “LoJack.”)

Adăugând la amenințare, LoJax poate supraviețui unei reîncadreri complete a Windows și chiar înlocuirea hard disk-ului.

Malware-ul supraviețuiește atacând sistemul de boot firmware al UEFI. Alte rootkituri s-ar putea ascunde în drivere sau în sectoarele de boot Ce este un Bootkit și este nemesis o adevărată amenințare? Ce este un bootkit, și este Nemesis o adevărată amenințare? Hackerii continuă să găsească modalități de a perturba sistemul dvs., cum ar fi bootkit-ul. Să ne uităm la ce este bootkit, cum funcționează varianta Nemesis și să ia în considerare ce puteți face pentru a rămâne clar. Citiți mai multe, în funcție de codarea și intenția atacatorului. LoJax se încarcă în firmware-ul sistemului și reinfectează sistemul înainte de încărcarea chiar a sistemului de operare.

Deocamdată, singura metodă cunoscută de a elimina complet malware-ul LoJax este lansarea unui nou firmware peste sistemul suspect Cum să vă actualizați UEFI BIOS-ul în Windows Cum să vă actualizați UEFI BIOS-ul în Windows Majoritatea utilizatorilor de PC-uri merg fără să-și actualizeze BIOS-ul. Dacă, totuși, vă interesează stabilitatea continuă, trebuie să verificați periodic dacă este disponibilă o actualizare. Vă vom arăta cum să vă actualizați în siguranță UEFI BIOS-ul. Citeste mai mult . Un flash firmware nu este ceva cu care majoritatea utilizatorilor au experiență. În timp ce este mai ușor decât în ​​trecut, există încă o semnificație faptul că intermitent un firmware va merge prost, potențial cărămizi mașină în cauză.

Cum funcționează Rootkit-ul LoJax??

LoJax utilizează o versiune reambalată a software-ului anti-furt LoJack al companiei Absolute Software. Instrumentul original este menit să fie persistent pe parcursul unei înlocuiri a sistemului sau al înlocuirii unității de disc, astfel încât licențiatul să poată urmări un dispozitiv furat. Motivele pentru ca instrumentul să se înmulțească atât de adânc în calculator sunt destul de legitime, iar LoJack este încă un produs popular împotriva furtului pentru aceste calități exacte.

Având în vedere că, în SUA, 97% din laptopurile furate nu sunt recuperate, utilizatorii inteligibili doresc protecție suplimentară pentru o investiție atât de scumpă.

LoJax utilizează un driver de kernel, RwDrv.sys, pentru a accesa setările BIOS / UEFI. Driverul kernel-ului este asociat cu RWEverything, un instrument legitim folosit pentru citirea și analizarea setărilor de computer de nivel scăzut (biți în care nu aveți în mod normal acces). Au existat alte trei instrumente în procesul de infectare cu rootkit LoJax:

  • Primul instrument dezvăluie informații despre setările de nivel scăzut ale sistemului (copiate din RWEverything) într-un fișier text. Omiterea protecției sistemului împotriva actualizărilor de firmware malware necesită cunoașterea sistemului.
  • Al doilea instrument “salvează o imagine a firmware-ului sistemului într-un fișier prin citirea conținutului memoriei flash SPI.” Memoria flash SPI găzduiește UEFI / BIOS-ul.
  • Un al treilea instrument adaugă modulul rău intenționat la imaginea firmware-ului, apoi îl scrie în memoria flash SPI.

Dacă LoJax își dă seama că memoria flash SPI este protejată, exploatează o vulnerabilitate cunoscută (CVE-2014-8273) pentru ao accesa, apoi continuă și scrie memoria de rootkit.

Unde a venit LoJax de la?

Echipa ESET Research crede că LoJax este lucrarea grupului hacking rusesc Fancy Bear / Sednit / Strontium / APT28. Grupul de hacking este responsabil pentru mai multe atacuri majore din ultimii ani.

LoJax utilizează aceleași servere de comandă și control ca și SedUploader-un alt malware malware Sednit. LoJax are, de asemenea, legături și urme de alte malware Sednit, inclusiv XAgent (un alt instrument backdoor) și XTunnel (un instrument proxy de rețea securizat).

În plus, cercetarea ESET a constatat că operatorii malware “a folosit diferite componente ale malware-ului LoJax pentru a viza câteva organizații guvernamentale din Balcani, precum și din Europa Centrală și de Est.”

LoJax nu este primul Rootkit UEFI

Vestea lui LoJax a determinat cu siguranță lumea securității să se așeze și să ia notă. Cu toate acestea, nu este primul rootkit pentru UEFI. Echipa Hacking (un grup malware, doar în cazul în care vă întrebați) folosea înapoi un rootkit UEFI / BIOS în 2015 pentru a menține un agent de sistem de control la distanță instalat pe sistemele țintă.

Diferența majoră dintre echipa de hacking UEFI rootkit și LoJax este metoda de livrare. În acel moment, cercetătorii din domeniul securității au crezut că Echipa de Hacking a solicitat acces fizic la un sistem pentru instalarea unei infecții la nivelul firmware-ului. Desigur, dacă cineva are acces direct la computer, ei pot face ceea ce vor. Totuși, rootkit-ul UEFI este în mod special urât.

Sistemul dvs. este în pericol de la LoJax?

Sistemele moderne bazate pe UEFI au mai multe avantaje distincte față de omologii lor mai vechi bazați pe BIOS.

Pentru unul, sunt mai noi. Hardware nou nu este totul și sfârșitul tuturor, dar face mai multe sarcini de calcul mai ușoare.

În al doilea rând, firmware-ul UEFI are și câteva funcții de securitate suplimentare. În special, este vorba despre Secure Boot, care permite doar executarea programelor cu semnătura digitală semnată.

Dacă aceasta este dezactivată și întâlniți un rootkit, veți avea un timp prost. Secure Boot este un instrument deosebit de util în epoca actuală a ransomware-ului. Consultați următorul videoclip despre Secure Boot care se ocupă cu un ransomware extrem de periculos NotPetya:

NotPetya ar fi criptat totul pe sistemul tinta, daca Secure Boot a fost oprit.

LoJax este un fel de bestie altfel. Contrar rapoartelor anterioare, chiar Boot-ul securizat nu poate opri LoJax. Păstrarea actualizării firmware-ului UEFI este extrem de importantă. Există câteva instrumente anti-rootkit specializate Ghidul complet de eliminare a malware-ului Ghidul complet de eliminare a malware-ului Malware este peste tot în aceste zile și eradicarea malware-ului din sistem este un proces îndelungat, care necesită îndrumare. Dacă credeți că computerul dvs. este infectat, acesta este ghidul de care aveți nevoie. Citește mai mult, dar nu este clar dacă pot proteja împotriva lui LoJax.

Cu toate acestea, la fel ca multe amenințări cu acest nivel de capacitate, computerul dvs. este o țintă primordială. Malware-ul avansat se concentrează în principal pe obiective la nivel înalt. Mai mult, LoJax are indicii de implicare a actorului de amenințare la nivel național; o altă șansă puternică LoJax nu vă va afecta pe termen scurt. Acestea fiind spuse, malware-ul are un mod de filtrare în lume. Dacă criminalii cibernetici identifică utilizarea cu succes a lui LoJax, ar putea deveni mai obișnuit în atacurile obișnuite de malware.

Ca întotdeauna, menținerea sistemului la zi este una dintre cele mai bune modalități de a vă proteja sistemul. Un abonament Malwarebytes Premium este de asemenea un ajutor foarte bun. 5 motive pentru upgrade la Malwarebytes Premium: Da, merită 5 Motive pentru upgrade la Malwarebytes Premium: Da, merită În timp ce versiunea gratuită a Malwarebytes este minunată, versiunea premium are o grămadă de caracteristici utile și valoroase. Citeste mai mult

Explorați mai multe despre: Malware, Rootkit, UEFI.