säkerhet

Vad är LoJax UEFI Rootkit utvecklad av ryska hackare?

Vad är LoJax UEFI Rootkit utvecklad av ryska hackare? / säkerhet

En rootkit är en särskilt otäck typ av skadlig kod. en “regelbunden” malwareinfektion laddas när du går in i operativsystemet. Det är fortfarande en dålig situation, men ett anständigt antivirusprogram bör ta bort skadlig kod och städa upp ditt system.

Omvänt installeras en rootkit till din systemkonfiguration och möjliggör installation av en skadlig nyttolast varje gång du startar om systemet.

Säkerhetsforskare har upptäckt en ny rootkit-variant i naturen, som heter LoJax. Vad sätter denna rootkit ifrån varandra? Tja, det kan infektera moderna UEFI-baserade system, snarare än äldre BIOS-baserade system. Och det är ett problem.

LoJax UEFI Rootkit

ESET Research publicerade ett forskningsblad som beskriver LoJax, en nyupptäckt rootkit (vilken är en rootkit?) Som framgångsrikt återanvändar en kommersiell programvara med samma namn. (Även om forskargruppen döpt malware “LoJax,” den äkta mjukvaran heter “LoJack.”)

LoJax kan lägga till hotet och överleva en fullständig Windows-återinstallation och även ersättning av hårddisken.

Malware överlever genom att attackera UEFI-firmware boot-systemet. Andra rootkits kan gömma sig i drivrutiner eller boot-sektorer Vad är en Bootkit, och är Nemesis en äkta hot? Vad är en Bootkit, och är Nemesis en äkta hot? Hackers fortsätter att hitta sätt att störa ditt system, till exempel bootkit. Låt oss titta på vad en bootkit är, hur Nemesis-varianten fungerar och överväga vad du kan göra för att hålla dig klar. Läs mer, beroende på deras kodning och avsiktet för angriparen. LoJax krokar in i systemets firmware och återinfekterar systemet innan OS-laddningar.

Den enda kända metoden för att helt ta bort LoJax malware blinkar ny firmware över det misstänkta systemet. Så här uppdaterar du ditt UEFI BIOS i Windows. Så här uppdaterar du ditt UEFI BIOS i Windows De flesta PC-användare går utan att någonsin uppdatera sina BIOS. Om du bryr dig om fortsatt stabilitet, bör du regelbundet kontrollera om en uppdatering är tillgänglig. Vi visar dig hur du säkert kan uppdatera din UEFI BIOS. Läs mer . En firmware-blixt är inte något som de flesta användare har erfarenhet av. Medan det är lättare än tidigare, är det fortfarande en signifikant att det blinkar en firmware kommer att gå fel, vilket potentiellt kan bricka maskinen i fråga.

Hur fungerar LoJax Rootkit Work?

LoJax använder en ompaketerad version av AbsJute Software's LoJack stöldskyddssoftware. Det ursprungliga verktyget är tänkt att vara beständigt under en systemtork eller ersättning av hårddisken, så att licensinnehavaren kan spåra en stulen enhet. Skälet till verktyget som gräver så djupt in i datorn är ganska legitimt, och LoJack är fortfarande en populär stöldskyddsprodukt för dessa exakta kvaliteter.

Med tanke på att i USA, 97 procent av stulna bärbara datorer aldrig återvinns, är det förståeligt att användare vill ha extra skydd för en så dyr investering.

LoJax använder en kärndrivrutin, RwDrv.sys, för att komma åt BIOS / UEFI-inställningarna. Kärnförstärkaren är bunden med RWEverything, ett legitimt verktyg som används för att läsa och analysera låga datorinställningar (bitar som du normalt inte har tillgång till). Det fanns tre andra verktyg i LoJax rootkit infektionsprocessen:

  • Det första verktyget dumper information om systemets låga nivåinställningar (kopieras från RWEverything) till en textfil. Omfattande systemskydd mot skadliga firmwareuppdateringar kräver kunskap om systemet.
  • Det andra verktyget “sparar en bild av systemets firmware till en fil genom att läsa innehållet i SPI-flashminne.” SPI-flashminne är värd för UEFI / BIOS.
  • Ett tredje verktyg lägger till den skadliga modulen i firmwarebilden och skriver sedan tillbaka till SPI-flashminne.

Om LoJax inser att SPI-flashminne är skyddat, utnyttjar det ett känt sårbarhet (CVE-2014-8273) för att komma åt det, fortsätter och skriver sedan rootkit till minne.

Var kom LoJax från?

ESET Research Team tror att LoJax är arbetet med den ryska hackinggruppen Famous Bear / Sednit / Strontium / APT28. Hackgruppen ansvarar för flera stora attacker de senaste åren.

LoJax använder samma kommando- och kontrollservrar som SedUploader-en annan Sednit bakdörr skadlig kod. LoJax har också länkar och spår av annan Sednit-malware, inklusive XAgent (ett annat bakdörrverktyg) och XTunnel (ett säkert nätverksproxys verktyg).

Dessutom fann ESET-forskningen att malwareoperatörerna “använde olika komponenter i LoJax malware för att rikta sig mot några regeringsorganisationer på Balkan samt Central- och Östeuropa.”

LoJax är inte den första UEFI Rootkit

Nyheten om LoJax orsakade säkert säkerhetsvärlden att sitta upp och notera. Det är dock inte den första UEFI rootkit. Hacking-teamet (en skadlig grupp, om du undrade) använde en UEFI / BIOS rootkit tillbaka 2015 för att hålla ett fjärrkontrollsystemagent installerat på målsystem.

Den stora skillnaden mellan UEFI rootkit och LoJax Hacking Team är leveransmetoden. Vid den tidpunkten trodde säkerhetsforskare att Hacking-teamet krävde fysisk åtkomst till ett system för att installera infektion på firmware nivå. Naturligtvis, om någon har direkt tillgång till din dator kan de göra vad de vill ha. Ändå är UEFI rootkit särskilt otäckt.

Är ditt system i fara från LoJax?

Moderna UEFI-baserade system har flera olika fördelar jämfört med deras äldre BIOS-baserade motsvarigheter.

För en, de är nyare. Ny maskinvara är inte allt och slutar allt, men det gör det enklare att göra många datoruppgifter.

För det andra har UEFI-firmware några ytterligare säkerhetsfunktioner. Särskilt i noteringen är Secure Boot, som endast tillåter att program med en signerad digital signatur körs.

Om det här är avstängt och du stöter på en rootkit, kommer du att ha en dålig tid. Secure Boot är ett särskilt användbart verktyg i nuvarande ålder av ransomware. Kolla in följande video av Secure Boot som hanterar den extremt farliga NotPetya ransomware:

NotPetya skulle ha krypterat allt på målsystemet om Secure Boot hade stängts av.

LoJax är en annorlunda sort av djur. Till skillnad från tidigare rapporter kan även Secure Boot inte stoppa LoJax. Att hålla din UEFI-firmware uppdaterad är extremt viktigt. Det finns några specialiserade anti-rootkit-verktyg Den fullständiga malwareavlägsningsguiden Den fullständiga Malware Removal Guide Malware är överallt i dessa dagar, och att utrota malware från ditt system är en lång process som kräver vägledning. Om du tror att din dator är infekterad, så är det den guide du behöver. Läs mer också, men det är oklart om de kan skydda mot LoJax.

Men som många hot mot denna nivå av kapacitet är din dator ett främsta mål. Avancerad malware fokuserar övervägande på mål på hög nivå. Vidare har LoJax indikationerna på nationellt hot mot aktörerna. En annan stark chans LoJax kommer inte att påverka dig på kort sikt. Med detta sagt har malware ett sätt att filtrera ut i världen. Om cyberkriminella upptäcker framgångsrik användning av LoJax, kan det bli vanligare i vanliga malwareattacker.

Att hålla ditt system uppdaterat är någonsin ett av de bästa sätten att skydda ditt system. En Malwarebytes Premium-prenumeration är också en bra hjälp. 5 skäl att uppgradera till Malwarebytes Premium: Ja, det är värt det 5 skäl att uppgradera till Malwarebytes Premium: Ja, det är värt det Medan den fria versionen av Malwarebytes är fantastisk har premium-versionen en massa användbara och givande funktioner. Läs mer

Utforska mer om: Malware, Rootkit, UEFI.