Το λογισμικό Antimalware δεν θα σας προστατεύσει από μια λοίμωξη rootkit, έτσι τι μπορείτε να κάνετε σχετικά με τη νέα μόλυνση LoJax;

Τι είναι το "LoJax" UEFI Rootkit που αναπτύχθηκε από Ρώσους χάκερ;

Διαφήμιση Ένα rootkit είναι ένας ιδιαίτερα δυσάρεστος τύπος κακόβουλου λογισμικού. Όταν μπαίνετε στο λειτουργικό σύστημα, φορτώνεται μια "κανονική" λοίμωξη κακόβουλου λογισμικού. Είναι ακόμα μια κακή κατάσταση, αλλά ένα αξιοπρεπές antivirus θα πρέπει να αφαιρέσει το κακόβουλο λογισμικό και να καθαρίσει το σύστημά σας. Αντ

Διαφήμιση

Ένα rootkit είναι ένας ιδιαίτερα δυσάρεστος τύπος κακόβουλου λογισμικού. Όταν μπαίνετε στο λειτουργικό σύστημα, φορτώνεται μια "κανονική" λοίμωξη κακόβουλου λογισμικού. Είναι ακόμα μια κακή κατάσταση, αλλά ένα αξιοπρεπές antivirus θα πρέπει να αφαιρέσει το κακόβουλο λογισμικό και να καθαρίσει το σύστημά σας.

Αντίθετα, ένα rootkit εγκαθιστά στο υλικολογισμικό του συστήματός σας και επιτρέπει την εγκατάσταση κακόβουλου ωφέλιμου φορτίου κάθε φορά που κάνετε επανεκκίνηση του συστήματός σας.

Οι ερευνητές της ασφάλειας έχουν εντοπίσει μια νέα ποικιλία rootkit στο φυσικό περιβάλλον, που ονομάζεται LoJax. Τι θέτει αυτό το rootkit εκτός από άλλους; Λοιπόν, μπορεί να μολύνει τα σύγχρονα συστήματα που βασίζονται στο UEFI, παρά τα παλαιότερα συστήματα που βασίζονται στο BIOS. Και αυτό είναι ένα πρόβλημα.

Το LoJax UEFI Rootkit

Η ESET Research δημοσίευσε ένα ερευνητικό έγγραφο που περιγράφει λεπτομερώς το LoJax, ένα πρόσφατα εντοπισμένο rootkit (τι είναι ένα rootkit;) που επαναφέρει επιτυχώς ένα εμπορικό λογισμικό με το ίδιο όνομα. (Αν και η ερευνητική ομάδα βάφτισε το κακόβουλο λογισμικό "LoJax", το γνήσιο λογισμικό ονομάζεται "LoJack").

Προσθέτοντας στην απειλή, το LoJax μπορεί να επιβιώσει από μια πλήρη επανεγκατάσταση των Windows και ακόμη και την αντικατάσταση του σκληρού δίσκου.

Το κακόβουλο πρόγραμμα επιβιώνει προσβάλλοντας το σύστημα boot firmware του UEFI. Άλλα rootkits ενδέχεται να κρύβονται στους οδηγούς ή στους τομείς εκκίνησης Τι είναι το Bootkit και είναι η πραγματική απειλή για το Nemesis; Τι είναι ένα Bootkit, και είναι η Nemesis πραγματική απειλή; Οι χάκερ συνεχίζουν να βρίσκουν τρόπους να διαταράξουν το σύστημά σας, όπως το bootkit. Ας δούμε τι είναι το bootkit, πώς λειτουργεί η παραλλαγή Nemesis και σκεφτείτε τι μπορείτε να κάνετε για να παραμείνετε σαφείς. Διαβάστε περισσότερα, ανάλογα με την κωδικοποίησή τους και την πρόθεση του εισβολέα. Το LoJax αγκιστρώνει στο υλικολογισμικό του συστήματος και επαναπληρώνει το σύστημα πριν φορτώσει το λειτουργικό σύστημα.

Η μόνη γνωστή μέθοδος για την πλήρη κατάργηση του κακόβουλου λογισμικού LoJax αναβοσβήνει το νέο υλικολογισμικό πάνω από το ύποπτο σύστημα Πώς να ενημερώσετε το UEFI BIOS στα Windows Πώς να ενημερώσετε το UEFI BIOS στα Windows Οι περισσότεροι χρήστες PC πηγαίνουν χωρίς να ενημερώσουν ποτέ το BIOS τους. Ωστόσο, αν φροντίζετε για συνεχή σταθερότητα, θα πρέπει να ελέγχετε περιοδικά εάν υπάρχει διαθέσιμη μια ενημέρωση. Σας παρουσιάζουμε πώς μπορείτε να ενημερώσετε με ασφάλεια το UEFI BIOS σας. Διαβάστε περισσότερα . Ένα φλας λογισμικού δεν είναι κάτι που οι περισσότεροι χρήστες έχουν εμπειρία με. Ενώ είναι πιο εύκολο από ό, τι στο παρελθόν, εξακολουθεί να υπάρχει ένα σημαντικό φαινόμενο που αναβοσβήνει ένα υλικολογισμικό θα πάει στραβά, ενδεχομένως μπλοκάρει το εν λόγω μηχάνημα.

Πώς λειτουργεί το LoJax Rootkit;

Το LoJax χρησιμοποιεί μια ανασυγκροτημένη έκδοση λογισμικού αντικλεπτικού λογισμικού LoJack του Absolute Software. Το αρχικό εργαλείο προορίζεται να είναι ανθεκτικό σε ολόκληρη την αντικατάσταση του συστήματος ή την αντικατάσταση του σκληρού δίσκου, οπότε ο κάτοχος της άδειας μπορεί να παρακολουθήσει μια κλεμμένη συσκευή. Οι λόγοι για τους οποίους το εργαλείο τρύφεται τόσο βαθιά στον υπολογιστή είναι αρκετά θεμιτό και το LoJack εξακολουθεί να είναι ένα δημοφιλές αντικλεπτικό προϊόν για αυτές τις ακριβείς ιδιότητες.

Δεδομένου ότι, στις ΗΠΑ, το 97% των κλεμμένων φορητών υπολογιστών δεν ανακτώνται ποτέ, είναι κατανοητό ότι οι χρήστες επιθυμούν επιπλέον προστασία για μια τόσο δαπανηρή επένδυση.

Το LoJax χρησιμοποιεί ένα πρόγραμμα οδήγησης πυρήνα, RwDrv.sys, για να αποκτήσει πρόσβαση στις ρυθμίσεις του BIOS / UEFI. Ο οδηγός του πυρήνα συνοδεύεται από το RWEverything, ένα νόμιμο εργαλείο που χρησιμοποιείται για την ανάγνωση και την ανάλυση ρυθμίσεων υπολογιστή χαμηλού επιπέδου (bits στα οποία κανονικά δεν έχετε πρόσβαση). Υπήρχαν άλλα τρία εργαλεία στη διαδικασία μόλυνσης rootkit του LoJax:

  • Το πρώτο εργαλείο διαγράφει πληροφορίες σχετικά με τις ρυθμίσεις συστήματος χαμηλού επιπέδου (αντιγραφεί από το RWEverything) σε ένα αρχείο κειμένου. Η παράκαμψη της προστασίας του συστήματος από τις κακόβουλες ενημερώσεις υλικολογισμικού απαιτεί γνώση του συστήματος.
  • Το δεύτερο εργαλείο "αποθηκεύει μια εικόνα του firmware του συστήματος σε ένα αρχείο διαβάζοντας τα περιεχόμενα της μνήμης flash SPI". Η μνήμη flash SPI φιλοξενεί το UEFI / BIOS.
  • Ένα τρίτο εργαλείο προσθέτει το κακόβουλο στοιχείο στην εικόνα του υλικολογισμικού και στη συνέχεια το γράφει πίσω στη μνήμη flash SPI.

Εάν το LoJax αντιληφθεί ότι η μνήμη flash SPI προστατεύεται, εκμεταλλεύεται μια γνωστή ευπάθεια (CVE-2014-8273) για να την αποκτήσει πρόσβαση, στη συνέχεια συνεχίζει και γράφει το rootkit στη μνήμη.

Από πού έρχεται το LoJax;

Η ομάδα της ESET Research πιστεύει ότι το LoJax είναι έργο του διαβόητου ομίλου Fancy Bear / Sednit / Strontium / APT28 της Ρωσίας. Η ομάδα hacking είναι υπεύθυνη για αρκετές σημαντικές επιθέσεις τα τελευταία χρόνια.

Το LoJax χρησιμοποιεί τους ίδιους διακομιστές εντολών και ελέγχου όπως το SedUploader-άλλο κακόβουλο πρόγραμμα backdoor της Sednit. Το LoJax έχει επίσης συνδέσεις και ίχνη άλλων κακόβουλων προγραμμάτων Sednit, όπως το XAgent (άλλο εργαλείο backdoor) και το XTunnel (ασφαλές εργαλείο δικτύου proxy).

Επιπλέον, η έρευνα της ESET διαπίστωσε ότι οι φορείς εκμετάλλευσης κακόβουλου λογισμικού "χρησιμοποίησαν διαφορετικά στοιχεία του κακόβουλου λογισμικού LoJax για να στοχεύσουν σε λίγους κυβερνητικούς οργανισμούς στα Βαλκάνια καθώς και στην Κεντρική και Ανατολική Ευρώπη".

Το LoJax δεν είναι το πρώτο UEFI Rootkit

Τα νέα του LoJax προκάλεσαν ασφαλώς στον κόσμο της ασφάλειας να καθίσει και να σημειώσει. Ωστόσο, δεν είναι το πρώτο rootkit του UEFI. Η ομάδα Hacking (μια κακόβουλη ομάδα, μόνο σε περίπτωση που αναρωτιέστε) χρησιμοποίησε ένα rootkit UEFI / BIOS το 2015 για να διατηρήσει έναν πράκτορα του συστήματος απομακρυσμένου ελέγχου εγκατεστημένο σε συστήματα προορισμού.

Η μεγάλη διαφορά μεταξύ της ρουκέτας της ομάδας Hacking UEFI και του LoJax είναι η μέθοδος παράδοσης. Εκείνη την εποχή, οι ερευνητές της ασφάλειας θεώρησαν ότι η Ομάδα Hacking απαιτούσε φυσική πρόσβαση σε ένα σύστημα για την εγκατάσταση της λοίμωξης σε επίπεδο υλικολογισμικού. Φυσικά, εάν κάποιος έχει άμεση πρόσβαση στον υπολογιστή σας, μπορούν να κάνουν ό, τι θέλουν. Ακόμα, το rootkit του UEFI είναι ιδιαίτερα δυσάρεστο.

Είναι το σύστημά σας σε κίνδυνο από το LoJax;

Τα σύγχρονα συστήματα που βασίζονται σε UEFI έχουν αρκετά ξεχωριστά πλεονεκτήματα σε σχέση με τα παλαιότερα αντίστοιχα BIOS.

Για ένα, είναι νεότεροι. Το νέο υλικό δεν είναι το όλο και το τέλος όλα, αλλά καθιστά ευκολότερη την εκτέλεση πολλών υπολογιστικών εργασιών.

Δεύτερον, το UEFI-firmware έχει και μερικά πρόσθετα χαρακτηριστικά ασφάλειας. Ιδιαίτερα σημείωμα είναι το Secure Boot, το οποίο επιτρέπει μόνο την εκτέλεση προγραμμάτων με ψηφιακή υπογραφή.

Αν αυτό είναι απενεργοποιημένο και συναντάτε ένα rootkit, θα έχετε έναν κακό χρόνο. Το Secure Boot είναι ένα ιδιαίτερα χρήσιμο εργαλείο στην τρέχουσα εποχή του ransomware. Ελέγξτε το παρακάτω βίντεο του Secure Boot που ασχολείται με το εξαιρετικά επικίνδυνο ransomware NotPetya:

Η NotPetya θα κρυπτογραφούσε τα πάντα στο σύστημα στόχου εάν είχε απενεργοποιηθεί η λειτουργία Secure Boot.

Το LoJax είναι ένα διαφορετικό είδος τέρας εντελώς. Σε αντίθεση με τις προηγούμενες αναφορές, ακόμα και το Secure Boot δεν μπορεί να σταματήσει το LoJax . Η διατήρηση του υλικολογισμικού UEFI σας μέχρι σήμερα είναι εξαιρετικά σημαντική. Υπάρχουν ορισμένα εξειδικευμένα εργαλεία κατά του rootkit Ο πλήρης οδηγός αφαίρεσης κακόβουλων προγραμμάτων Ο πλήρης οδηγός αφαίρεσης κακόβουλων προγραμμάτων Malware είναι παντού αυτές τις μέρες και η εξάλειψη κακόβουλου λογισμικού από το σύστημά σας είναι μια χρονοβόρα διαδικασία που απαιτεί καθοδήγηση. Εάν πιστεύετε ότι ο υπολογιστής σας είναι μολυσμένος, αυτός είναι ο οδηγός που χρειάζεστε. Διαβάστε επίσης, αλλά δεν είναι σαφές εάν μπορούν να προστατεύσουν από το LoJax.

Ωστόσο, όπως πολλές απειλές με αυτό το επίπεδο δυνατοτήτων, ο υπολογιστής σας είναι πρωταρχικός στόχος. Το προηγμένο κακόβουλο πρόγραμμα επικεντρώνεται κυρίως σε στόχους υψηλού επιπέδου. Επιπλέον, ο LoJax έχει τις ενδείξεις εμπλοκής των εθνικών φορέων στην απειλή των απειλών. μια άλλη ισχυρή ευκαιρία η LoJax δεν θα σας επηρεάσει βραχυπρόθεσμα. Τούτου λεχθέντος, το κακόβουλο λογισμικό έχει έναν τρόπο φιλτραρίσματος στον κόσμο. Εάν οι εγκληματίες του κυβερνοχώρου εντοπίσουν την επιτυχή χρήση του LoJax, μπορεί να γίνει πιο συνηθισμένο στις τακτικές επιθέσεις malware.

Όπως πάντα, η διατήρηση του συστήματός σας μέχρι σήμερα είναι ένας από τους καλύτερους τρόπους για την προστασία του συστήματός σας. Μια συνδρομή Malwarebytes Premium είναι επίσης μια μεγάλη βοήθεια. 5 λόγοι για την αναβάθμιση σε Malwarebytes Premium: Ναι, αξίζει τον κόπο 5 λόγοι για την αναβάθμιση σε Malwarebytes Premium: Ναι, αξίζει τον κόπο Ενώ η δωρεάν έκδοση του Malwarebytes είναι τρομερή, η premium έκδοση έχει ένα σωρό χρήσιμα και αξιόλογα χαρακτηριστικά. Διαβάστε περισσότερα

Εξερευνήστε περισσότερα σχετικά με: Malware, Rootkit, UEFI.