Vad är "LoJax" UEFI Rootkit utvecklat av ryska hackare?
Annons
En rootkit är en särskilt otäck typ av skadlig kod. En "vanlig" skadlig infektion laddas när du kommer in i operativsystemet. Det är fortfarande en dålig situation, men ett anständigt antivirusprogram bör ta bort skadlig programvara och rensa upp ditt system.
Omvänt installerar ett rootkit till din systemfasta programvara och tillåter installation av en skadlig nyttolast varje gång du startar om ditt system.
Säkerhetsforskare har upptäckt en ny rotkitvariant i naturen, med namnet LoJax. Vad skiljer denna rootkit från andra? Tja, det kan smitta moderna UEFI-baserade system snarare än äldre BIOS-baserade system. Och det är ett problem.
LoJax UEFI Rootkit
ESET Research publicerade ett forskningsdokument som beskriver LoJax, en nyupptäckt rootkit (vad är en rootkit?) Som framgångsrikt ändrar en kommersiell programvara med samma namn. (Även om forskargruppen döpte skadlig programvara ”LoJax” heter den äkta programvaran ”LoJack.”)
Tillägg till hotet kan LoJax överleva en komplett Windows-installation och till och med ersättning av hårddisken.
Den skadliga programvaran överlever genom att attackera UEFI-startprogrammet för firmware. Andra rootkits kan gömma sig i drivrutiner eller startsektorer Vad är en bootkit och är Nemesis en äkta hot? Vad är en bootkit och är Nemesis en äkta hot? Hackare fortsätter att hitta sätt att störa ditt system, t.ex. bootkit. Låt oss titta på vad en bootkit är, hur Nemesis-varianten fungerar och överväga vad du kan göra för att hålla dig klar. Läs mer, beroende på deras kodning och angriparens avsikt. LoJax ansluts till systemets firmware och infekterar systemet igen innan OS till och med laddas.
Den enda kända metoden för att helt ta bort LoJax-skadlig programvara blinkar ny firmware över det misstänkta systemet. Hur du uppdaterar ditt UEFI BIOS i Windows Hur du uppdaterar ditt UEFI BIOS i Windows De flesta PC-användare går utan att uppdatera BIOS. Om du bryr dig om fortsatt stabilitet bör du dock regelbundet kontrollera om en uppdatering är tillgänglig. Vi visar hur du säkert kan uppdatera din UEFI BIOS. Läs mer . En firmwareflash är inte något de flesta användare har erfarenhet av. Även om det är enklare än tidigare, finns det fortfarande en betydelse att att en fast programvara blinkar kommer att gå fel, vilket kan göra att maskinen ifrågasätts.
Hur fungerar LoJax Rootkit?
LoJax använder en omförpackad version av Absolute Software LoJack-stöldprogramvara. Det ursprungliga verktyget är tänkt att vara ihållande genom en systemtorkning eller utbyte av hårddisk så att licensinnehavaren kan spåra en stulen enhet. Skälen till att verktyget grävar så djupt in i datorn är ganska legitima, och LoJack är fortfarande en populär stöldprodukt för dessa exakta egenskaper.
Med tanke på att 97 procent av stulna bärbara datorer i USA aldrig återhämtas, är det förståeligt att användare vill ha extra skydd för en så dyr investering.
LoJax använder en kärndrivrutin, RwDrv.sys, för att komma åt BIOS / UEFI-inställningarna. Kärndrivrutinen är bunden med RWEverything, ett legitimt verktyg som används för att läsa och analysera datorinställningar på låg nivå (bitar som du normalt inte har tillgång till). Det fanns tre andra verktyg i LoJax rootkit-infektionsprocessen:
- Det första verktyget dumpar information om systeminställningarna på låg nivå (kopieras från RWEverything) till en textfil. Omkoppling av systemskydd mot skadliga firmwareuppdateringar kräver kunskap om systemet.
- Det andra verktyget "sparar en bild av systemets firmware till en fil genom att läsa innehållet i SPI-flashminnet." SPI-flashminnet är värd för UEFI / BIOS.
- Ett tredje verktyg lägger till den skadliga modulen till firmware-bilden och skriver sedan tillbaka den till SPI-flashminnet.
Om LoJax inser att SPI-flashminnet är skyddat utnyttjar det en känd sårbarhet (CVE-2014-8273) för att komma åt det, fortsätter sedan och skriver rootkit till minnet.
Var kom LoJax ifrån?
ESET-forskargruppen tror att LoJax är arbetet för den ökända Fancy Bear / Sednit / Strontium / APT28 ryska hackinggruppen. Hackningsgruppen ansvarar för flera stora attacker under senare år.
LoJax använder samma kommando- och kontrollserver som SedUploader - en annan Sednit-skadlig skadlig programvara. LoJax har också länkar och spår av andra Sednit malware, inklusive XAgent (ett annat bakdörrverktyg) och XTunnel (ett säkert nätverksproxyverktyg).
Dessutom fann ESET-forskningen att skadeprogramoperatörerna "använde olika komponenter i LoJax-skadlig programvara för att rikta in sig på några statliga organisationer på Balkan såväl som i Central- och Östeuropa."
LoJax är inte den första UEFI Rootkit
Nyheterna om LoJax fick verkligen säkerhetsvärlden att sitta upp och notera. Det är emellertid inte den första UEFI-rootkit. Hacking Team (en skadlig grupp, bara om du undrade) använde ett UEFI / BIOS rootkit tillbaka 2015 för att hålla en fjärrkontrollsystem installerad på målsystem.
Den största skillnaden mellan The Hacking Team UEFI rootkit och LoJax är leveransmetoden. Vid den tiden trodde säkerhetsforskare att The Hacking Team krävde fysisk tillgång till ett system för att installera firmware-infektionen. Naturligtvis, om någon har direkt tillgång till din dator kan de göra vad de vill. Ändå är UEFI rootkit särskilt otäck.
Är ditt system utsatt för LoJax?
Moderna UEFI-baserade system har flera distinkta fördelar jämfört med sina äldre BIOS-baserade motsvarigheter.
För det första är de nyare. Ny hårdvara är inte allt och slutar allt, men det gör många beräkningsuppgifter enklare.
För det andra har UEFI-firmware också några ytterligare säkerhetsfunktioner. Särskilt noteras är Secure Boot, som bara tillåter program med en signerad digital signatur att köras.
Om detta är avstängt och du stöter på en rootkit kommer du att ha det dåligt. Secure Boot är också ett särskilt användbart verktyg i den nuvarande tiden för ransomware. Kolla in följande video av Secure Boot som hanterar den extremt farliga NotPetya ransomware:
NotPetya skulle ha krypterat allt på målsystemet om Secure Boot hade stängts av.
LoJax är en annan typ av djur helt. Till skillnad från tidigare rapporter kan till och med Secure Boot inte stoppa LoJax . Att hålla din UEFI-firmware uppdaterad är oerhört viktigt. Det finns några specialiserade anti-rootkit-verktyg. Komplett guide för borttagning av skadlig programvara Den kompletta guiden för borttagning av skadlig programvara Malware finns överallt i dessa dagar, och att radera skadlig programvara från ditt system är en lång process som kräver vägledning. Om du tror att din dator är infekterad är detta den guide du behöver. Läs mer också, men det är oklart om de kan skydda mot LoJax.
Liksom många hot med denna kapacitetsnivå är din dator emellertid ett huvudmål. Avancerad skadlig programvara fokuserar främst på högnivåmål. Dessutom har LoJax indikationerna på nationell statlig hotaktörsengagemang; ytterligare en stark chans att LoJax inte påverkar dig på kort sikt. Som sagt, malware har ett sätt att filtrera ut i världen. Om cyberbrottslingar upptäcker en framgångsrik användning av LoJax kan det bli vanligare i regelbundna skadliga attacker.
Som alltid är ditt system uppdaterat ett av de bästa sätten att skydda ditt system. En Malwarebytes Premium-prenumeration är också en stor hjälp. 5 skäl att uppgradera till Malwarebytes Premium: Ja, det är värt det 5 skäl att uppgradera till Malwarebytes Premium: Ja, det är värt det Medan gratisversionen av Malwarebytes är fantastisk, har premiumversionen ett gäng användbara och värdefulla funktioner. Läs mer
Utforska mer om: Malware, Rootkit, UEFI.
