Oglas

Rootkit je posebno jeziva vrsta zlonamjernog softvera. "Uobičajena" infekcija zlonamjernim softverom učitava se kada uđete u operativni sustav. Još je uvijek loša situacija, ali pristojni antivirus trebao bi ukloniti zlonamjerni softver i očistiti vaš sustav.

Suprotno tome, rootkit se instalira na firmver vašeg sustava i omogućuje instalaciju zlonamjernog korisnog opterećenja prilikom svakog ponovnog pokretanja sustava.

Istraživači sigurnosti primijetili su novu varijantu rootkita u divljini, pod nazivom LoJax. Što ovaj rootkit izdvaja od ostalih? Pa može zaraziti moderne sustave koji se temelje na UEFI, a ne starije BIOS-ove sustave. I to je problem.

LoJax UEFI Rootkit

Istraživanje ESET-a Objavljeno istraživački rad koji detaljno opisuje LoJax, novootkriveni rootkit (što je rootkit?) koji uspješno ponovno nameću istoimeni komercijalni softver. (Iako je istraživački tim krštavao zlonamjerni softver "LoJax", pravi se softver zove "LoJack.")

Dodajući prijetnji, LoJax može preživjeti potpunu ponovnu instalaciju sustava Windows, pa čak i zamjenu tvrdog diska.

instagram viewer

Zlonamjerni softver preživljava napadom na sustav za pokretanje UEFI firmware-a. drugo rootkiti se mogu sakriti u pogonima ili sektorima za pokretanje Što je "bootkit" i je li Nemesis prava prijetnja?Hakeri i dalje pronalaze načine kako da poremete vaš sustav, poput bootkita. Pogledajmo što je pokretački program, kako funkcionira varijanta Nemesis, i razmotrimo što možete učiniti da ostanete jasni. Čitaj više , ovisno o njihovom kodiranju i namjeri napadača. LoJax se zakači na firmver sustava i ponovno inficira sustav prije nego što se OS čak i učita.

Zasad je jedina poznata metoda za potpuno uklanjanje zlonamjernog softvera LoJax bljeskajući novi firmver preko sumnjivog sustava Kako ažurirati svoj UEFI BIOS u sustavu WindowsVećina korisnika osobnih računala ide bez ažuriranja svog BIOS-a. Ako se brinete za kontinuiranu stabilnost, trebali biste povremeno provjeriti je li dostupno ažuriranje. Pokazujemo vam kako sigurno ažurirati svoj UEFI BIOS. Čitaj više . Bljeskalica upravljačkog softvera nije nešto s čime većina korisnika ima iskustva. Iako je lakše nego u prošlosti, i dalje je značajno da će bljesak firmvera poći po zlu, što može potencijalno blokirati dotični stroj.

Kako djeluje LoJax Rootkit?

LoJax koristi prepakiranu verziju LoJack protuprovalnog softvera tvrtke LoJack. Izvorni alat trebao bi biti postojan tijekom brisanja sustava ili zamjene tvrdog diska kako bi korisnik licence mogao pratiti ukradeni uređaj. Razlozi zbog kojih se alat toliko duboko zabio u računalo prilično su opravdani, a LoJack je i dalje popularan proizvod protiv krađe za ove točne kvalitete.

S obzirom da je u SAD-u 97 posto ukradenih prijenosnih računala nikad oporavio, razumljivi korisnici žele dodatnu zaštitu za tako skupo ulaganje.

LoJax koristi upravljački program kernela, RwDrv.sys, za pristup postavkama BIOS / UEFI. Upravljački program kernela isporučuje se s RWEverything, legitimnim alatom koji se koristi za čitanje i analiziranje postavki niske razine računala (bitovi kojima obično nemate pristup). U procesu infekcije LoJax rootkitom bila su tri druga alata:

  • Prvi alat ubacuje podatke o postavkama sustava na niskoj razini (kopiran s RWEverything) u tekstualnu datoteku. Zaobilaženje zaštite sustava od zlonamjernih ažuriranja softvera zahtijeva znanje o sustavu.
  • Drugi alat "sprema sliku firmvera sustava u datoteku čitanjem sadržaja SPI flash memorije." SPI flash memorija hostuje UEFI / BIOS.
  • Treći alat dodaje zlonamjeran modul slici firmvera, a zatim ga vraća nazad u SPI flash memoriju.

Ako LoJax shvati da je SPI flash memorija zaštićena, iskorištava poznatu ranjivost (CVE-2014-8273) da biste mu pristupili, zatim nastavlja i upisuje rootkit u memoriju.

Odakle LoJax?

Istraživački tim ESET vjeruje da je LoJax djelo zloglasne ruske hakerske grupe Fancy Bear / Sednit / Strontium / APT28. Hakerska skupina odgovorna je za nekoliko velikih napada posljednjih godina.

LoJax koristi iste poslužiteljske naredbe i kontrole kao i SedUploader - još jedan Sednit stražnji zlonamjerni softver. LoJax također ima veze i tragove ostalih Sednit zlonamjernog softvera, uključujući XAgent (još jedan stražnji alat) i XTunnel (alat zaštićenog mrežnog proxyja).

Pored toga, istraživanje ESET-a otkrilo je da su operateri zlonamjernog softvera "koristili različite komponente LoJax zlonamjerni softver cilja ciljeve na nekoliko vladinih organizacija na Balkanu kao i na Srednjem i Istočnom Europa."

LoJax nije prvi UEFI-in korijen

Vijest o LoJaxu zasigurno je uzrokovala da svijet sigurnosti sjedi i vodi bilješke. Međutim, to nije prvi UEFI rootkit. Tim za sjeckanje (zlonamjerna skupina, za svaki slučaj, ako se pitate) koristio je UEFI / BIOS rootkit davne 2015. godine kako bi se agent daljinskog upravljanja instalirao na ciljne sustave.

Glavna razlika između UEFI rootkita Hacking Team-a i LoJax-a je način isporuke. U to su vrijeme sigurnosni istraživači smatrali da je timu za hakiranje potreban fizički pristup sustavu za instaliranje infekcije na razini firmvera. Naravno, ako netko ima izravan pristup vašem računalu, može raditi što želi. Ipak, UEFI rootkit je posebno gadan.

Je li vaš sustav u riziku od LoJaxa?

Suvremeni sustavi koji se temelje na UEFI imaju nekoliko različitih prednosti u odnosu na njihove starije BIOS-ove kolege.

Za jednu su novije. Novi hardver nije sve kraj i kraj, ali mnogo olakšava računarstvo.

Drugo, UEFI-ov softver ima nekoliko dodatnih sigurnosnih značajki. Posebno treba istaknuti Sigurnu čizmu, što omogućuje pokretanje samo programa s potpisanim digitalnim potpisom.

Ako je ovo isključeno i naiđete na rootkit, imat ćete loše vrijeme. Secure Boot posebno je koristan alat u trenutnom dobu ransomwarea. Pogledajte sljedeći videozapis Sigurnog pokretanja koji se bavi izuzetno opasnim NotPetya ransomware-om:

NotPetya bi šifrirao sve na ciljnom sustavu da je Sigurna dizala bila isključena.

LoJax je sasvim drugačija zvijer. Suprotno ranijim izvješćima, čak i zaštićeno pokretanje ne može zaustaviti LoJax. Ažuriranje upravljačkog softvera UEFI izuzetno je važno. Tamo su neke specijalizirane alate protiv rootkita Kompletan vodič za uklanjanje zlonamjernog softveraOvih je dana zlonamjerni softver svuda prisutan, a iskorjenjivanje zlonamjernog softvera iz vašeg sustava dugotrajan je postupak, pa su vam potrebne upute. Ako mislite da je vaše računalo zaraženo, ovo je vodič koji vam je potreban. Čitaj više , također, ali nije jasno mogu li se zaštititi od LoJaxa.

Međutim, kao i mnoge prijetnje s ovom razinom sposobnosti, vaše računalo je glavna meta. Napredni zlonamjerni softver uglavnom se fokusira na ciljeve na visokoj razini. Nadalje, LoJax ima naznake uključenosti aktera prijetnje nacionalnih država; još jedna velika šansa da LoJax neće utjecati na vas u kratkom roku. U skladu s tim, zlonamjerni softver ima način filtriranja u svijet. Ako cyber-kriminalci uoče uspješnu upotrebu LoJax-a, to može postati uobičajenije u redovitim napadima zlonamjernog softvera.

Kao i uvijek, ažurnost sustava jedan je od najboljih načina zaštite vašeg sustava. Velika je pomoć i pretplata na Malwarebytes Premium. 5 razloga za nadogradnju na Malwarebytes Premium: Da, vrijediIako je besplatna verzija Malwarebytesa fantastična, premium verzija ima gomilu korisnih i vrijednih značajki. Čitaj više

Gavin je stariji pisac za MUO. Također je urednik i SEO Manager za sestrino kripto fokusirano web mjesto MakeUseOf, Blocks Decoded. Ima BA (Hons) suvremeno pisanje s digitalnim umjetničkim praksama koje su pljačkale s Devonskih brda, kao i više od desetljeća profesionalnog pisanja. Uživa u velikim količinama čaja.