Startseite Bezpečnostní Co je Rootkit „LoJax“ UEFI vyvinutý ruskými hackery?

Co je Rootkit „LoJax“ UEFI vyvinutý ruskými hackery?

  • Michael Fisher
  • 0
  • 2251
  • 374
reklama

Rootkit je obzvláště ošklivý typ malwaru. A “pravidelný” malware infekce načte při vstupu do operačního systému. Je to stále špatná situace, ale slušný antivirus by měl malware odstranit a vyčistit systém.

Naopak rootkit se instaluje do firmwaru systému a umožňuje instalaci škodlivého užitečného zatížení při každém restartování systému..

Vědci zabývající se bezpečností spatřili ve volné přírodě novou variantu rootkitů nazvanou LoJax. Co odlišuje tento rootkit od ostatních? Může infikovat moderní systémy založené na UEFI než starší systémy založené na systému BIOS. A to je problém.

Rootkit LoJax UEFI

Společnost ESET Research zveřejnila výzkumný dokument, který podrobně popisuje LoJax, nově objevený rootkit (co je rootkit?), Který úspěšně přehodnocuje komerční software stejného jména. (Ačkoli výzkumný tým pokřtil malware “LoJax,” skutečný software je pojmenován “LoJack.”)

Kromě této hrozby může LoJax přežít úplnou přeinstalaci Windows a dokonce i výměnu pevného disku.

Malware přežije útokem na zaváděcí systém firmwaru UEFI. Jiné rootkity se mohou skrýt v ovladačích nebo spouštěcích sektorech Co je Bootkit a je Nemesis skutečnou hrozbou? Co je Bootkit a je Nemesis skutečnou hrozbou? Hackeři stále hledají způsoby, jak narušit váš systém, například bootkit. Podívejme se, co je bootkit, jak funguje varianta Nemesis, a zvažte, co můžete udělat, abyste zůstali jasní. , v závislosti na jejich kódování a záměru útočníka. LoJax se připojí k firmwaru systému a znovu infikuje systém ještě před načtením OS.

Dosud je jedinou známou metodou úplného odstranění malwaru LoJax blikání nového firmwaru přes podezřelý systém. Jak aktualizovat systém UEFI BIOS v systému Windows Jak aktualizovat systém UEFI BIOS v systému Windows Většina uživatelů počítačů odchází bez aktualizace svého systému BIOS. Pokud vám však záleží na zachování stability, měli byste pravidelně kontrolovat, zda je k dispozici aktualizace. Ukážeme vám, jak bezpečně aktualizovat váš UEFI BIOS. . Flash firmware není něco, s čím většina uživatelů má zkušenosti. I když je to jednodušší než v minulosti, stále existuje významná skutečnost, že blikání firmwaru se pokazí, což může způsobit zděšení dotyčného stroje.

Jak funguje LoJax Rootkit?

LoJax používá přebalenou verzi anti-krádežového softwaru LoJack Absolute Software. Původní nástroj má být trvalý po celou dobu výměny systému nebo výměny pevného disku, takže držitel licence může sledovat ukradené zařízení. Důvody, proč se nástroj tak hluboko vrací do počítače, jsou dosti legitimní a LoJack je pro tyto přesné vlastnosti stále populární produkt proti krádeži..

Vzhledem k tomu, že v USA není 97 procent odcizených notebooků nikdy obnoveno, je pochopitelné, že uživatelé potřebují zvláštní ochranu pro tak drahou investici.

LoJax používá ovladač jádra, RwDrv.sys, pro přístup k nastavení BIOS / UEFI. Ovladač jádra je dodáván s RWEverything, legitimním nástrojem používaným ke čtení a analýze nastavení počítače nízké úrovně (bity, ke kterým normálně nemáte přístup). V procesu infekce rootkitů LoJax byly další tři nástroje:

  • První nástroj vypíše informace o nízkoúrovňových systémových nastaveních (zkopírovaných z RWEverything) do textového souboru. Obcházení ochrany systému před škodlivými aktualizacemi firmwaru vyžaduje znalost systému.
  • Druhý nástroj “uloží obrázek systémového firmwaru do souboru načtením obsahu SPI flash paměti.” Paměť SPI flash hostuje UEFI / BIOS.
  • Třetí nástroj přidá škodlivý modul do obrazu firmwaru a poté jej zapíše zpět do SPI flash paměti.

Pokud si LoJax uvědomí, že je chráněna paměť SPI flash, využívá k přístupu známou zranitelnost (CVE-2014-8273), poté pokračuje a zapisuje rootkit do paměti.

Odkud LoJax pochází?

Tým ESET Research věří, že LoJax je dílem neslavné ruské hackerské skupiny Fancy Bear / Sednit / Strontium / APT28. Skupina hackerů je v posledních letech zodpovědná za několik závažných útoků.

LoJax používá stejné příkazové a řídicí servery jako SedUploader - další malware z backdoorů Sednit. LoJax má také odkazy a stopy dalšího Sednit malwaru, včetně XAgent (další nástroj pro backdoor) a XTunnel (bezpečný nástroj proxy pro síť).

Výzkum ESET navíc zjistil, že provozovatelé malwaru “použil různé komponenty malwaru LoJax k cílení na několik vládních organizací na Balkáně i ve střední a východní Evropě.”

LoJax není první rootkit UEFI

Zprávy o LoJaxu jistě způsobily, že svět bezpečnosti seděl a vzal na vědomí. Není to však první rootkit UEFI. Hacking Team (nebezpečná skupina, pro případ, že by vás zajímalo) používal v roce 2015 rootkit UEFI / BIOS, aby udržel agenta dálkového ovládání nainstalovaného na cílových systémech.

Hlavní rozdíl mezi The Hacking Team UEFI rootkit a LoJax je způsob doručení. V té době si výzkumní pracovníci v oblasti bezpečnosti mysleli, že The Hacking Team vyžaduje fyzický přístup k systému k instalaci infekce na úrovni firmwaru. Pokud má někdo přímý přístup k vašemu počítači, může samozřejmě dělat, co chce. Přesto je rootkit UEFI obzvláště ošklivý.

Je váš systém ohrožen LoJaxem?

Moderní systémy založené na UEFI mají oproti svým starším protějškům založeným na BIOSu několik výrazných výhod.

Jednak jsou novější. Nový hardware není vše a konec všeho, ale usnadňuje mnoho výpočetních úloh.

Za druhé, firmware UEFI má také několik dalších bezpečnostních funkcí. Obzvláště důležité je Secure Boot, které umožňuje spouštět pouze programy s podepsaným digitálním podpisem.

Pokud je toto vypnuto a narazíte na rootkit, budete mít špatný čas. Secure Boot je zvláště užitečný nástroj v současném věku ransomwaru. Podívejte se na následující video Secure Boot, které se zabývá extrémně nebezpečným ransomwarem NotPetya:

NotPetya by šifrovala všechno v cílovém systému, pokud by byl Secure Boot vypnut.

LoJax je úplně jiný druh zvířete. Navzdory dřívějším zprávám nemůže LoJax zastavit ani Secure Boot. Udržování aktuálního firmwaru UEFI je nesmírně důležité. Existuje několik specializovaných anti-rootkitových nástrojů Kompletní průvodce odstraňováním malwaru Kompletní průvodce odstraňováním malwaru Malware je dnes všude a odstranění škodlivého softwaru z vašeho systému je zdlouhavý proces, který vyžaduje vedení. Pokud si myslíte, že je váš počítač napaden, je to průvodce, který potřebujete. , ale není jasné, zda mohou chránit před LoJaxem.

Stejně jako mnoho hrozeb s touto úrovní schopností je však váš počítač hlavním cílem. Pokročilý malware se zaměřuje především na cíle vysoké úrovně. LoJax má dále náznaky zapojení aktéra ohrožení státem; další silná šance, že vás LoJax z krátkodobého hlediska neovlivní. To znamená, že malware má způsob odfiltrování do světa. Pokud kybernetičtí zločinci spatří úspěšné používání LoJaxu, může se stát běžnějším v pravidelných útokech škodlivého softwaru.

Jako vždy, udržování aktuálnosti systému je jedním z nejlepších způsobů ochrany systému. Velkou pomocí je také předplatné Malwarebytes Premium. 5 důvodů, proč upgradovat na Malwarebytes Premium: Ano, stojí to za to 5 důvodů, proč upgradovat na Malwarebytes Premium: Ano, stojí to za to Zatímco bezplatná verze Malwarebytes je úžasná, prémiová verze má spoustu užitečných a užitečných funkcí.




Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.

Nejběžnější vysvětlené standardy a typy Wi-Fi
Vysvětlená technologie
Nefunguje váš touchpad notebooku? Tady je oprava
Vysvětlená technologie
Co je Raspberry Pi a co s ním můžete udělat?
Vysvětlená technologie
O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.