Antimalware-software vil ikke beskytte dig mod en rootkit-infektion, så hvad kan du gøre med den nye LoJax-infektion?

Hvad er "LoJax" UEFI Rootkit udviklet af russiske hackere?

Reklame En rootkit er en særlig grim type malware. En "regelmæssig" malware-infektion indlæses, når du går ind i operativsystemet. Det er stadig en dårlig situation, men en anstændig antivirus skal fjerne malware og rydde dit system. Omvendt installeres et rootkit til dit systems firmware og tillader installation af en ondsindet nyttelast hver gang du genstarter dit system. Sikke

Reklame

En rootkit er en særlig grim type malware. En "regelmæssig" malware-infektion indlæses, når du går ind i operativsystemet. Det er stadig en dårlig situation, men en anstændig antivirus skal fjerne malware og rydde dit system.

Omvendt installeres et rootkit til dit systems firmware og tillader installation af en ondsindet nyttelast hver gang du genstarter dit system.

Sikkerhedsforskere har fundet en ny rodkitvariant i naturen ved navn LoJax. Hvad adskiller denne rodkit fra andre? Det kan godt inficere moderne UEFI-baserede systemer i stedet for ældre BIOS-baserede systemer. Og det er et problem.

LoJax UEFI Rootkit

ESET Research offentliggjorde et forskningsdokument, der beskriver LoJax, en nyligt opdaget rootkit (hvad er en rootkit?), Der med succes genanvendes til en kommerciel software med samme navn. (Selvom forskerteamet døb malware “LoJax”, hedder den ægte software “LoJack.”)

Tilføjelse til truslen kan LoJax overleve en komplet Windows-geninstallation og endda udskiftning af harddisken.

Malware overlever ved at angribe UEFI firmwarens opstartssystem. Andre rodkits gemmer sig muligvis i drivere eller boot sektorer Hvad er en bootkit, og er Nemesis en ægte trussel? Hvad er en bootkit, og er Nemesis en ægte trussel? Hackere fortsætter med at finde måder at forstyrre dit system, f.eks. Bootkit. Lad os se på, hvad en bootkit er, hvordan Nemesis-varianten fungerer, og overveje, hvad du kan gøre for at forblive klar. Læs mere, afhængigt af deres kodning og angriberen's intention. LoJax kobles ind i systemets firmware og inficerer systemet igen, før OS endda indlæses.

Endnu er den eneste kendte metode til fuldstændig fjernelse af LoJax malware blinkende ny firmware over det mistænkelige system Sådan opdateres din UEFI BIOS i Windows Sådan opdateres din UEFI BIOS i Windows De fleste pc-brugere går uden at opdatere deres BIOS. Hvis du sørger for fortsat stabilitet, skal du dog med jævne mellemrum kontrollere, om en opdatering er tilgængelig. Vi viser dig, hvordan du sikkert opdaterer din UEFI BIOS. Læs mere . En firmwareflash er ikke noget, som de fleste brugere har erfaring med. Selvom det er lettere end tidligere, er der stadig en markant betydning, at at blinke en firmware vil gå galt, hvilket muligvis murer den pågældende maskine.

Hvordan fungerer LoJax Rootkit?

LoJax bruger en ompakket version af Absolute Softwares LoJack-tyverisoftware. Det originale værktøj er beregnet til at være vedvarende i hele en systemtørring eller udskiftning af harddisk, så licenshaveren kan spore en stjålet enhed. Årsagerne til værktøjet, der graver så dybt ind i computeren, er ret legitime, og LoJack er stadig et populært tyveriprodukt for disse nøjagtige kvaliteter.

I betragtning af at 97 procent af stjålne bærbare computere i USA aldrig gendannes, er det forståelige brugere, der ønsker ekstra beskyttelse for en så dyre investering.

LoJax bruger en kernel-driver, RwDrv.sys, til at få adgang til BIOS / UEFI-indstillingerne. Kernedriveren er bundet med RWEverything, et legitimt værktøj, der bruges til at læse og analysere computerindstillinger på lavt niveau (bits, som du normalt ikke har adgang til). Der var tre andre værktøjer i LoJax rootkit-infektionsprocessen:

  • Det første værktøj dumper oplysninger om systemindstillinger på lavt niveau (kopieret fra RWEverything) til en tekstfil. Omgåelse af systembeskyttelse mod ondsindede firmwareopdateringer kræver kendskab til systemet.
  • Det andet værktøj "gemmer et billede af systemets firmware til en fil ved at læse indholdet af SPI-flashhukommelsen." SPI-flashhukommelsen er vært for UEFI / BIOS.
  • Et tredje værktøj føjer det ondsindede modul til firmwarebilledet og skriver det derefter tilbage til SPI-flashhukommelsen.

Hvis LoJax indser, at SPI-flashhukommelsen er beskyttet, udnytter den en kendt sårbarhed (CVE-2014-8273) for at få adgang til den, fortsætter den og skriver rootkit til hukommelsen.

Hvor kom LoJax fra?

ESET-forskerteamet mener, at LoJax er arbejdet for den berygtede Fancy Bear / Sednit / Strontium / APT28 russiske hackinggruppe. Hackinggruppen er ansvarlig for adskillige større angreb i de senere år.

LoJax bruger den samme kommando- og kontrolserver som SedUploader - en anden Sednit-bagdør malware. LoJax har også links og spor af anden Sednit malware, herunder XAgent (et andet bagdørværktøj) og XTunnel (et sikkert netværksproxyværktøj).

Derudover fandt ESET-undersøgelsen, at malware-operatørerne "brugte forskellige komponenter i LoJax-malware til at målrette mod et par regeringsorganisationer på Balkan såvel som Central- og Østeuropa."

LoJax er ikke den første UEFI-rodkit

Nyheden om LoJax fik bestemt sikkerhedsverdenen til at sidde og notere sig. Det er dog ikke det første UEFI-rootkit. Hackingteamet (en ondsindet gruppe, bare i tilfælde af at du spekulerer på) brugte et UEFI / BIOS rootkit tilbage i 2015 for at holde en fjernstyringssystemagent installeret på målsystemer.

Den største forskel mellem The Hacking Team UEFI rootkit og LoJax er leveringsmetoden. På det tidspunkt troede sikkerhedsforskere, at The Hacking Team krævede fysisk adgang til et system for at installere firmware-infektion. Hvis nogen har direkte adgang til din computer, kan de selvfølgelig gøre, hvad de vil. Stadigvis er UEFI rootkit især grimt.

Er dit system i fare for LoJax?

Moderne UEFI-baserede systemer har flere forskellige fordele i forhold til deres ældre BIOS-baserede kolleger.

For det første er de nyere. Ny hardware er ikke alt sammen og slutter alt, men det gør mange computeropgaver lettere.

For det andet har UEFI-firmware også et par ekstra sikkerhedsfunktioner. Især bemærkes er Secure Boot, som kun tillader programmer med en signeret digital signatur at køre.

Hvis dette er slået fra, og du støder på en rodkit, har du det dårligt. Secure Boot er også et særligt nyttigt værktøj i den nuværende alder af ransomware. Se den følgende video af Secure Boot, der beskæftiger sig med den ekstremt farlige NotPetya-ransomware:

NotPetya ville have krypteret alt på målsystemet, hvis Secure Boot var slået fra.

LoJax er en anden slags dyr. I modsætning til tidligere rapporter kan selv Secure Boot ikke stoppe LoJax . Det er ekstremt vigtigt at holde din UEFI-firmware opdateret. Der er nogle specialiserede anti-rootkit-værktøjer Den komplette guide til fjernelse af malware Den komplette guide til fjernelse af malware Malware er overalt i disse dage, og at udrydde malware fra dit system er en lang proces, der kræver vejledning. Hvis du tror, ​​at din computer er inficeret, er dette den vejledning, du har brug for. Læs mere også, men det er uklart, om de kan beskytte mod LoJax.

Som mange trusler med dette kapacitetsniveau er din computer imidlertid et hovedmål. Avanceret malware fokuserer overvejende på mål på højt niveau. Derudover har LoJax indikationer af deltagelse i trusselsaktør fra nationalstaten; endnu en stærk chance LoJax påvirker ikke dig på kort sigt. Når det er sagt, har malware en måde at filtrere ud i verden på. Hvis cyberkriminelle finder den vellykkede brug af LoJax, kan det blive mere almindeligt i regelmæssige malware-angreb.

Som altid er det at holde dit system opdateret en af ​​de bedste måder at beskytte dit system. Et Malwarebytes Premium-abonnement er også en stor hjælp. 5 grunde til at opgradere til Malwarebytes Premium: Ja, det er det værd Det 5 grunde til at opgradere til Malwarebytes Premium: Ja, det er det værd Mens den gratis version af Malwarebytes er fantastisk, har premium-versionen en masse nyttige og værdifulde funktioner. Læs mere

Udforsk mere om: Malware, Rootkit, UEFI.