Annonse

En rootkit er en spesielt stygg type malware. En "vanlig" malware-infeksjon laster når du kommer inn i operativsystemet. Det er fortsatt en dårlig situasjon, men en anstendig antivirus bør fjerne skadelig programvare og rydde opp i systemet ditt.

Motsatt installerer et rootkit til firmware og tillater installasjon av en ondsinnet nyttelast hver gang du starter systemet ditt på nytt.

Sikkerhetsforskere har oppdaget en ny rotkitvariant i naturen, kalt LoJax. Hva skiller denne rotstokken fra andre? Vel, det kan infisere moderne UEFI-baserte systemer, i stedet for eldre BIOS-baserte systemer. Og det er et problem.

LoJax UEFI Rootkit

ESET Research publisert et forskningsoppgave som beskriver LoJax, et nyoppdaget rotkit (hva er et rotkit?) som med suksess bruker om en kommersiell programvare med samme navn. (Selv om forskerteamet døpte skadelig programvare "LoJax", heter den ekte programvaren "LoJack.")

I tillegg til trusselen kan LoJax overleve en komplett Windows-installasjon og til og med erstatning av harddisken.

instagram viewer

Den skadelige programvaren overlever ved å angripe UEFI-firmwarens oppstartssystem. Annen rootkits kan gjemme seg i drivere eller oppstartssektorer Hva er en bootkit, og er Nemesis en ekte trussel?Hackere fortsetter å finne måter å forstyrre systemet ditt, for eksempel bootkit. La oss se på hva en bootkit er, hvordan Nemesis-varianten fungerer, og vurder hva du kan gjøre for å holde deg klar. Les mer , avhengig av koding og angriperens intensjon. LoJax kobles til systemets fastvare og infiserer systemet på nytt før OS til og med lastes.

Så langt er den eneste kjente metoden for å fjerne LoJax malware skadelig blinkende ny firmware over det mistenkte systemet Slik oppdaterer du UEFI BIOS i WindowsDe fleste PC-brukere går uten å oppdatere BIOS. Hvis du ivaretar fortsatt stabilitet, bør du imidlertid med jevne mellomrom sjekke om en oppdatering er tilgjengelig. Vi viser deg hvordan du trygt kan oppdatere UEFI BIOS. Les mer . En firmwareflits er ikke noe de fleste brukere har erfaring med. Selv om det er enklere enn tidligere, er det fremdeles viktig at å blinke fast firmware vil gå galt, og potensielt miste den aktuelle maskinen.

Hvordan fungerer LoJax Rootkit?

LoJax bruker en ompakket versjon av Absolute Software LoJack tyverisikringsprogramvare. Det originale verktøyet er ment å være vedvarende gjennom en systemtørking eller utskifting av harddisk slik at lisenshaveren kan spore en stjålet enhet. Årsakene til at verktøyet graver så dypt inn i datamaskinen er ganske legitime, og LoJack er fortsatt et populært tyveriprodukt for disse nøyaktige egenskapene.

Gitt at i USA er 97 prosent av stjålne bærbare datamaskiner aldri kommet seg, er det forståelig at brukere vil ha ekstra beskyttelse for en så kostbar investering.

LoJax bruker en kjernedriver, RwDrv.sys, for å få tilgang til BIOS / UEFI-innstillingene. Kjernedriveren er samlet med RWEverything, et legitimt verktøy som brukes til å lese og analysere datamaskininnstillinger på lavt nivå (biter du normalt ikke har tilgang til). Det var tre andre verktøy i LoJax rootkit infeksjonsprosess:

  • Det første verktøyet dumper informasjon om systeminnstillingene på lavt nivå (kopiert fra RWEverything) til en tekstfil. Omkjøring av systembeskyttelse mot ondsinnede firmwareoppdateringer krever kunnskap om systemet.
  • Det andre verktøyet "lagrer et bilde av systemets fastvare til en fil ved å lese innholdet i SPI-flashminnet." SPI-flashminnet er vert for UEFI / BIOS.
  • Et tredje verktøy legger til den ondsinnede modulen til firmwarebildet og skriver den deretter tilbake til SPI-flashminnet.

Hvis LoJax innser at SPI-flashminnet er beskyttet, utnytter det et kjent sårbarhet (CVE-2014-8273) for å få tilgang til den, fortsetter deretter og skriver rootkit til minnet.

Hvor kom LoJax fra?

ESET-forskerteamet mener at LoJax er arbeidet til den beryktede Fancy Bear / Sednit / Strontium / APT28 russiske hacking-gruppen. Hakkegruppen er ansvarlig for flere store angrep de siste årene.

LoJax bruker de samme kommando- og kontrollserverne som SedUploader - en annen Sednit-malware. LoJax har også lenker og spor etter annen Sednit malware, inkludert XAgent (et annet bakdørverktøy) og XTunnel (et sikkert nettverksproxyverktøy).

I tillegg fant ESET-forskningen at malware-operatørene “brukte forskjellige komponenter av LoJax malware for å målrette mot noen få regjeringsorganisasjoner på Balkan så vel som i Sentral- og Østlandet Europa."

LoJax er ikke den første UEFI-rotkit

Nyheten om LoJax fikk absolutt sikkerhetsverdenen til å sette seg opp og notere seg. Imidlertid er det ikke den første UEFI-rootkit. Hacking Team (en ondsinnet gruppe, bare i tilfelle du lurte på) brukte en UEFI / BIOS rootkit tilbake i 2015 for å holde en fjernkontrollsystemagent installert på målsystemer.

Den største forskjellen mellom The Hacking Team UEFI rootkit og LoJax er leveringsmetoden. Den gangen trodde sikkerhetsforskere at The Hacking Team krevde fysisk tilgang til et system for å installere firmware-nivå-infeksjonen. Hvis noen har direkte tilgang til datamaskinen din, kan de selvfølgelig gjøre hva de vil. Fortsatt er UEFI rootkit spesielt stygg.

Er systemet ditt utsatt for LoJax?

Moderne UEFI-baserte systemer har flere forskjellige fordeler i forhold til sine eldre BIOS-baserte kolleger.

For det første er de nyere. Ny maskinvare er ikke alt og slutter alt, men det gjør mange dataoppgaver enklere.

For det andre har UEFI-firmware også noen ekstra sikkerhetsfunksjoner. Spesielt oppmerksom er Secure Boot, som bare lar programmer med en signert digital signatur kjøres.

Hvis dette er slått av og du støter på et rootkit, vil du ha det dårlig. Secure Boot er et spesielt nyttig verktøy i den nåværende tiden for ransomware. Sjekk ut følgende video av Secure Boot som omhandler den ekstremt farlige NotPetya ransomware:

NotPetya ville ha kryptert alt på målsystemet hvis Secure Boot var slått av.

LoJax er en annen type dyr. I motsetning til tidligere rapporter kan ikke Secure Boot stoppe LoJax. Det er ekstremt viktig å holde UEFI-firmware oppdatert. Det er noen spesialiserte anti-rootkit verktøy Komplett guide til fjerning av skadelig programvareMalware er overalt i disse dager, og å utrydde skadelig programvare fra systemet ditt er en langvarig prosess, som krever veiledning. Hvis du tror datamaskinen din er infisert, er dette guiden du trenger. Les mer også, men det er uklart om de kan beskytte mot LoJax.

I likhet med mange trusler med dette nivået av kapasitet, er datamaskinen din imidlertid et hovedmål. Avansert skadelig programvare fokuserer hovedsakelig på mål på høyt nivå. Videre har LoJax indikasjonene på involvering av nasjonalstatens trusselaktører; en annen sterk sjanse LoJax vil ikke påvirke deg på kort sikt. Når det er sagt, har malware en måte å filtrere ut i verden på. Hvis nettkriminelle oppdager vellykket bruk av LoJax, kan det bli mer vanlig i vanlige malware-angrep.

Som alltid er det å holde systemet oppdatert en av de beste måtene å beskytte systemet på. Et Malwarebytes Premium-abonnement er også en god hjelp. 5 grunner til å oppgradere til Malwarebytes Premium: Ja, det er verdt detMens gratisversjonen av Malwarebytes er fantastisk, har premiumversjonen en haug med nyttige og verdige funksjoner. Les mer

Gavin er seniorforfatter for MUO. Han er også redaktør og SEO manager for MakeUseOfs kryptofokuserte søsterside, Blocks Decoded. Han har en BA (Hons) samtidsskriving med digital kunstpraksis som er plyndret fra åsene i Devon, samt over et tiår med profesjonell skrivingerfaring. Han liker store mengder te.