Hva er LoJax UEFI Rootkit utviklet av russiske hackere?
En rootkit er en spesielt stygg type malware. EN “regelmessig” malware infeksjon laster når du går inn i operativsystemet. Det er fortsatt en dårlig situasjon, men et anstendig antivirusprogram må fjerne malware og rydde opp systemet ditt.
Omvendt installerer en rootkit til systemets fastvare og gjør det mulig å installere en skadelig nyttelast hver gang du starter systemet på nytt.
Sikkerhetsforskere har oppdaget en ny rootkit-variant i naturen, kalt LoJax. Hva setter denne rootkit fra hverandre? Vel, det kan infisere moderne UEFI-baserte systemer, i stedet for eldre BIOS-baserte systemer. Og det er et problem.
LoJax UEFI Rootkit
ESET Research publiserte et forskningspapir som beskriver LoJax, en nylig oppdaget rootkit (hva er en rootkit?) Som vellykket gjenbruk av en kommersiell programvare med samme navn. (Selv om forskergruppen døde malware “LoJax,” den ekte programvaren heter “LoJack.”)
LoJax legger til trusselen, kan overleve en fullstendig Windows-installasjon og til og med utskifting av harddisken.
Malware overlever ved å angripe UEFI firmware boot system. Andre rootkits kan gjemme seg i drivere eller oppstartssektorer Hva er en Bootkit, og er Nemesis en ekte trussel? Hva er en Bootkit, og er Nemesis en ekte trussel? Hackere fortsetter å finne måter å forstyrre systemet, for eksempel bootkit. La oss se på hva en bootkit er, hvordan Nemesis-varianten fungerer, og se hva du kan gjøre for å holde deg klar. Les mer, avhengig av kodingen og angriperenes hensikt. LoJax kroker inn i systemets fastvare og re-infiserer systemet før OS selvbelastning.
Den eneste kjente metoden for å fullstendig fjerne LoJax-malware blinker ny firmware over det mistenkte systemet. Slik oppdaterer du UEFI BIOS i Windows Slik oppdaterer du UEFI BIOS i Windows De fleste PC-brukere går uten å noen gang oppdatere BIOS. Hvis du bryr deg om fortsatt stabilitet, bør du imidlertid regelmessig sjekke om en oppdatering er tilgjengelig. Vi viser deg hvordan du trygt oppdaterer UEFI BIOS. Les mer . En fastvare-flash er ikke noe de fleste brukere har erfaring med. Mens det er enklere enn tidligere, er det fortsatt en signifikant at det blinker en firmware vil gå galt, noe som potensielt bricker maskinen i spørsmålet.
Hvordan fungerer LoJax Rootkit Work?
LoJax bruker en ompakket versjon av AbsJute Software's LoJack anti-tyveri programvare. Det opprinnelige verktøyet er ment å være vedvarende gjennom en systemtørkelse eller harddiskutskifting, slik at lisensinnehaveren kan spore en stjålet enhet. Årsakene til at verktøyet burrowing så dypt inn i datamaskinen er ganske legitimt, og LoJack er fortsatt et populært tyveri-produkt for disse eksakte kvaliteter.
Gitt at i USA, 97 prosent av stjålne bærbare datamaskiner aldri blir gjenopprettet, er det forståelige brukere som ønsker ekstra beskyttelse for en så kostbar investering.
LoJax bruker en kjernedriver, RwDrv.sys, for å få tilgang til BIOS / UEFI-innstillingene. Kjernedriveren er kombinert med RWEverything, et legitimt verktøy som brukes til å lese og analysere lavinnstillingsinnstillinger for datamaskinen (biter du vanligvis ikke har tilgang til). Det var tre andre verktøy i LoJax rootkit infeksjonsprosessen:
- Det første verktøyet dumper informasjon om systeminnstillingene på lavt nivå (kopiert fra RWEverything) til en tekstfil. Bypassing system beskyttelse mot ondsinnede fastvareoppdateringer krever kunnskap om systemet.
- Det andre verktøyet “lagrer et bilde av systemets fastvare til en fil ved å lese innholdet i SPI-flashminnet.” SPI-flashminnet er vert for UEFI / BIOS.
- Et tredje verktøy legger til ondsinnet modul til fastvarebildet og skriver det tilbake til SPI-flashminnet.
Hvis LoJax innser at SPI-flashminne er beskyttet, utnytter det et kjent sikkerhetsproblem (CVE-2014-8273) for å få tilgang til det, fortsetter og skriver rootkit til minne.
Hvor kom LoJax fra?
ESET Research team mener at LoJax er arbeidet til den beryktede Fancy Bear / Sednit / Strontium / APT28 russiske hacking-gruppen. Hakkegruppen er ansvarlig for flere store angrep de siste årene.
LoJax bruker samme kommando og kontroll servere som SedUploader-en annen Sednit bakdør malware. LoJax har også lenker og spor av annen Sednit malware, inkludert XAgent (et annet bakdør verktøy), og XTunnel (et sikkert nettverk proxy verktøy).
I tillegg fant ESET-undersøkelsen at malwareoperatørene “brukte ulike komponenter i LoJax malware til å målrette noen få regjeringsorganisasjoner på Balkan, så vel som Sentral-og Øst-Europa.”
LoJax er ikke den første UEFI Rootkit
Nyheten om LoJax forårsaket sikkert at sikkerhetsverdenen satte seg og tok notat. Det er imidlertid ikke den første UEFI rootkit. Hacking Teamet (en ondsinnet gruppe, bare i tilfelle du lurte på), brukte en UEFI / BIOS rootkit tilbake i 2015 for å holde et fjernstyrt systemagent installert på målsystemer.
Den store forskjellen mellom UEFI rootkit og LoJax Hacking Team er leveringsmetoden. På det tidspunkt trodde sikkerhetsforskere at The Hacking Team krevde fysisk tilgang til et system for å installere infeksjonen på firmware-nivå. Selvfølgelig, hvis noen har direkte tilgang til datamaskinen din, kan de gjøre hva de vil. Likevel er UEFI rootkit spesielt ekkel.
Er systemet ditt i fare fra LoJax?
Moderne UEFI-baserte systemer har flere forskjellige fordeler over sine eldre BIOS-baserte kolleger.
For en, de er nyere. Ny maskinvare er ikke alt og slutter alt, men det gjør det enklere å utføre mange databehandlingsoppgaver.
For det andre har UEFI-firmware noen få ekstra sikkerhetsfunksjoner. Spesielt av notatet er Secure Boot, som bare tillater programmer med signert digital signatur til å kjøre.
Hvis dette er slått av og du støter på en rootkit, kommer du til å ha en dårlig tid. Secure Boot er et spesielt nyttig verktøy i den nåværende alderen av ransomware også. Sjekk ut følgende video av Secure Boot som omhandler den ekstremt farlige NotPetya ransomware:
NotPetya ville ha kryptert alt på målsystemet hadde Secure Boot blitt slått av.
LoJax er en annen slags dyr helt og holdent. I motsetning til tidligere rapporter kan selv Secure Boot ikke stoppe LoJax. Å holde UEFI-fastvaren oppdatert er ekstremt viktig. Det er noen spesialiserte anti-rootkit-verktøy. Den komplette malware-fjerningsguiden. Den komplette malware-fjerningsguiden Malware er overalt i disse dager, og utrydding av skadelig programvare fra systemet ditt er en langvarig prosess som krever veiledning. Hvis du tror at datamaskinen er infisert, er dette den guiden du trenger. Les også, men det er uklart om de kan beskytte mot LoJax.
Men som mange trusler med dette kapasitetsnivået, er datamaskinen din et hovedmål. Avansert malware fokuserer overveiende på mål på høyt nivå. Videre har LoJax indikasjonene på nasjonalstatstrusselærerens engasjement; En annen sterk sjanse LoJax vil ikke påvirke deg på kort sikt. Når det er sagt, har malware en måte å filtrere ut i verden. Hvis cyberkriminelle oppdager den vellykkede bruken av LoJax, kan det bli vanligere i vanlige malwareangrep.
Som alltid, å holde systemet oppdatert, er en av de beste måtene å beskytte systemet på. Et Malwarebytes Premium-abonnement er også en god hjelp. 5 grunner til å oppgradere til Malwarebytes Premium: Ja, det er verdt det 5 grunner til å oppgradere til Malwarebytes Premium: Ja, det er verdt det Mens den gratis versjonen av Malwarebytes er fantastisk, har premium-versjonen en rekke nyttige og verdifulle funksjoner. Les mer
Utforsk mer om: Malware, Rootkit, UEFI.