Mis on Vene häkkerite välja töötatud UEFI juurkomplekt "LoJax"?

Reklaam

Juurkomplekt on eriti vastik tüüpi pahavara. “Tavaline” pahavaranakkus laeb opsüsteemi sisenedes. See on endiselt halb olukord, kuid korralik viirusetõrje peaks pahavara eemaldama ja teie süsteemi puhastama.

Juurkomplekt vastupidi installib teie süsteemi püsivara ja lubab pahatahtliku kasuliku installida iga kord, kui oma süsteemi taaskäivitate.

Turvateadlased on märganud looduses uut juurkomitee varianti, mille nimi on LoJax. Mis eristab seda juurkomplekti teistest? Noh, see võib nakatada tänapäevaseid UEFI-põhiseid süsteeme, mitte vanemaid BIOS-põhiseid süsteeme. Ja see on probleem.

LoJaxi UEFI juurkomplekt

ESET Research avaldatud uurimistöö, milles kirjeldatakse äsja avastatud juurkomplekti LoJax (mis on juurkomplekt?), mis kasutab sama nimega kommertstarkvara edukalt uuesti. (Kuigi uurimisrühm ristis pahavara „LoJax”, kannab ehtne tarkvara nime „LoJack”.)

Lisaks ohule suudab LoJax üle elada Windowsi täieliku uuesti installimise ja isegi kõvaketta asendamise.

Pahavara jääb ellu, rünnates UEFI püsivara alglaadimissüsteemi. Muud

Juurkomplektid võivad peituda draiverites või alglaadimissektorites Mis on alglaadimiskomplekt ja kas Nemesis on tõeline oht?Häkkerid leiavad jätkuvalt võimalusi teie süsteemi häirimiseks, näiteks alglaadimiskomplekt. Vaatame, mis on alglaadimiskomplekt, kuidas Nemesise variant töötab, ja kaalume, mida saate teha, et jääda selgeks. Loe rohkem , sõltuvalt nende kodeeringust ja ründaja kavatsusest. LoJax ühendab süsteemi püsivara ja nakatab süsteemi uuesti enne, kui OS isegi laadib.

Siiani on ainus teadaolev meetod LoJaxi pahavara täielikuks eemaldamiseks uue püsivara vilkumine kahtlase süsteemi kohal Kuidas värskendada oma UEFI BIOS-i WindowsisEnamik arvutikasutajaid läheb BIOS-i värskendamata. Jätkuva stabiilsuse tagamiseks peaksite siiski perioodiliselt kontrollima, kas värskendus on saadaval. Näitame teile, kuidas oma UEFI BIOS-i ohutult värskendada. Loe rohkem . Püsivaravälklamp pole enamiku kasutajate kogemus. Ehkki lihtsam kui varem, on siiski märkimisväärne, et püsivara vilkumine läheb valesti, mis võib kõnealuse masina potentsiaalselt briktida.

Kuidas LoJaxi juurkomplekt töötab?

LoJax kasutab Absolute Software'i LoJacki vargusevastase tarkvara ümberpakendatud versiooni. Algne tööriist on mõeldud püsivaks kogu süsteemi pühkimise või kõvaketta asendamise ajal, et litsentsisaaja saaks varastatud seadet jälgida. Põhjused, miks tööriist nii sügavale arvutisse tungib, on üsna õigustatud ning LoJack on nende täpsete omaduste poolest endiselt populaarne vargusvastane toode.

Arvestades, et USA-s on 97 protsenti varastatud sülearvutitest pole kunagi taastunud, on arusaadav, et kasutajad tahavad sellise kalli investeeringu eest lisakaitset.

LoJax kasutab kerneli draiverit, RwDrv.sys, et pääseda juurde BIOS / UEFI sätetele. Kerneli draiver on komplekteeritud RWEverythingiga - õigustatud tööriistaga, mida kasutatakse madala taseme arvutiseadete lugemiseks ja analüüsimiseks (bittidele, millele teil tavaliselt pole juurdepääsu). LoJaxi juurkomplekti nakatumisprotsessis oli veel kolm tööriista:

• Esimene tööriist koondab teabe madala taseme süsteemiseadete kohta (kopeeritud RWEverythingist) tekstifaili. Süsteemi kaitse vältimine pahatahtliku püsivara värskenduste eest eeldab süsteemi tundmist.
• Teine tööriist “salvestab süsteemi püsivara pildi faili, lugedes SPI välkmälu sisu”. SPI välkmälu hostib UEFI / BIOS.
• Kolmas tööriist lisab pahatahtliku mooduli püsivara kujutisele ja kirjutab selle siis tagasi SPI välkmällu.

Kui LoJax saab aru, et SPI-välkmälu on kaitstud, kasutab see teadaolevat haavatavust (CVE-2014-8273) sellele juurde pääseda, jätkub ja kirjutab juurkomplekti mällu.

Kust tuli LoJax?

ESETi uurimisrühm usub, et LoJax on kurikuulsa vene häkkimisrühma Fancy Bear / Sednit / Strontium / APT28 töö. Häkkimisrühm vastutab mitmete viimaste aastate suuremate rünnakute eest.

LoJax kasutab samu käsu- ja juhtservereid nagu SedUploader - veel üks Sedniti tagaukse pahavara. LoJaxil on ka lingid ja jäljed muudest Sedniti pahavaradest, sealhulgas XAgent (teine ​​tagaukse tööriist) ja XTunnel (turvalise võrgu puhverserveri tööriist).

Lisaks leidis ESET-i uuring, et pahavara operaatorid „kasutasid tarkvara erinevaid komponente LoJaxi pahavara on suunatud mõnele Balkani ning Kesk- ja Ida-Ameerika valitsusorganisatsioonile Euroopa."

LoJax pole esimene UEFI juurkomplekt

LoJaxi uudised panid julgeolekumaailma kindlasti istuma ja teadvustama. Kuid see pole esimene UEFI juurkomplekt. Häkkimismeeskond (pahatahtlik grupp, igaks juhuks kui mõtlesite) kasutas UEFI / BIOS rootkit tagasi 2015. aastal, et hoida kaugjuhtimissüsteemi agent installitud sihtsüsteemidesse.

Hacking Team UEFI rootkit ja LoJax peamine erinevus on edastusviis. Tollal arvasid turvateadlased, et häkkimismeeskond vajab püsivara tasemel nakkuse installimiseks füüsilist juurdepääsu süsteemile. Muidugi, kui kellelgi on otsene juurdepääs teie arvutile, saab ta teha mida tahab. Sellegipoolest on UEFI juurkomplekt eriti vastik.

Kas teie süsteem on LoJaxi ohus?

Kaasaegsetel UEFI-põhistel süsteemidel on vanemate BIOS-põhiste kolleegidega võrreldes mitmeid selgeid eeliseid.

Ühe jaoks on nad uuemad. Uus riistvara pole veel kõik ja lõpeb sellega, kuid see teeb palju arvutustehnilisi ülesandeid lihtsamaks.

Teiseks on UEFI-püsivaral ka mõned täiendavad turvafunktsioonid. Eriti tähelepanuväärne on Secure Boot, mis lubab käivitada ainult allkirjastatud digitaalallkirjaga programme.

Kui see on välja lülitatud ja kui näete juurkomplekti, on teil halb aeg. Turvaline alglaadimine on eriti kasulik tööriist ka praegusel lunavaraprogrammi ajastul. Vaadake järgmist videot turvalisest alglaadimisest, mis käsitleb eriti ohtlikku NotPetya lunavara (NotPetya):

NotPetya oleks krüptinud kõik sihtsüsteemis, kui turvaline alglaadimine oleks välja lülitatud.

LoJax on kokku hoopis teist tüüpi metsaline. Vastupidiselt varasematele teadetele ei saa isegi turvaline alglaadimine LoJaxi peatada. UEFI püsivara värskendamine on äärmiselt oluline. Seal on mõned spetsiaalsed rootkitivastased tööriistad Täielik pahavara eemaldamise juhendPahavara on tänapäeval kõikjal ja pahavara oma süsteemist kustutamine on pikk protsess, mis nõuab juhendamist. Kui arvate, et teie arvuti on nakatunud, on see juhend, mida vajate. Loe rohkem ka, kuid pole selge, kas nad suudavad LoJaxi eest kaitsta.

Nagu paljud sellise võimekusega ohud, on teie arvuti peamine eesmärk. Täiustatud pahavara keskendub peamiselt kõrgetasemelistele eesmärkidele. Lisaks on LoJaxil märke rahvusriikide ohtude osaliste seotusest; veel üks suur võimalus, et LoJax ei mõjuta teid lühiajaliselt. See tähendab, et pahavaral on viis maailma välja filtreerida. Kui küberkurjategijad märkavad LoJaxi edukat kasutamist, võib see tavalistes pahavararünnetes tavalisem olla.

Nagu ikka, on süsteemi ajakohane hoidmine üks parimaid viise süsteemi kaitsmiseks. Malwarebytes Premiumi tellimus on samuti suureks abiks. Malwarebytes Premiumi versioonile üleviimise viis põhjust: jah, see on seda väärtKuigi Malwarebytes'i tasuta versioon on fantastiline, on premium-versioonil hunnik kasulikke ja väärt funktsioone. Loe rohkem