Что такое руткит UEFI "LoJax", разработанный российскими хакерами?

Рекламное объявление

Руткит - это особенно неприятный тип вредоносного ПО. «Обычное» заражение вредоносным ПО загружается при входе в операционную систему. Это все еще плохая ситуация, но приличный антивирус должен удалить вредоносную программу и очистить вашу систему.

И наоборот, руткит устанавливается в прошивку вашей системы и позволяет устанавливать вредоносную полезную нагрузку при каждой перезагрузке системы.

Исследователи безопасности обнаружили новый вариант руткита под названием LoJax. Что отличает этот руткит от других? Ну, это может заразить современные системы на основе UEFI, а не старые системы на основе BIOS. И это проблема.

LoJax UEFI руткит

ESET Research опубликованный исследовательская работа, в которой подробно описывается LoJax, недавно обнаруженный руткит (что такое руткит?), которая успешно переопределяет коммерческое программное обеспечение с тем же именем. (Хотя исследовательская группа окрестила вредоносное ПО «LoJax», подлинное программное обеспечение называется «LoJack».)

В дополнение к угрозе, LoJax может пережить полную переустановку Windows и даже замену жесткого диска.

Вредоносная программа выживает, атакуя систему загрузки прошивки UEFI. Другой руткиты могут прятаться в драйверах или загрузочных секторах Что такое буткит и является ли Немезида подлинной угрозой?Хакеры продолжают находить способы нарушить работу вашей системы, такие как буткит. Давайте посмотрим, что такое буткит, как работает вариант Nemesis, и рассмотрим, что вы можете сделать, чтобы остаться ясным. Подробнее в зависимости от их кодировки и намерений атакующего. LoJax подключается к системной прошивке и повторно заражает систему до того, как ОС даже загружается.

Пока единственным известным способом полного удаления вредоносного ПО LoJax является прошивка новой прошивки по подозрительной системе Как обновить BIOS UEFI в WindowsБольшинство пользователей ПК не обновляют BIOS. Однако если вам нужна постоянная стабильность, вам следует периодически проверять наличие обновлений. Мы покажем вам, как безопасно обновить ваш UEFI BIOS. Подробнее . Прошивка прошивки - это не то, с чем сталкиваются большинство пользователей. Несмотря на то, что это проще, чем в прошлом, все же важно, что перепрошивка микропрограммы пойдет не так, что может привести к поломке рассматриваемой машины.

Как работает руткит LoJax?

LoJax использует переупакованную версию программного обеспечения Absolute Software для защиты от краж LoJack. Предполагается, что оригинальный инструмент должен быть постоянным во время очистки системы или замены жесткого диска, чтобы лицензиат мог отслеживать украденное устройство. Причины, по которым инструмент закапывается так глубоко в компьютер, вполне законны, и LoJack по-прежнему остается популярным продуктом для защиты от кражи именно этих качеств.

Учитывая, что в США 97 процентов украденных ноутбуков никогда не выздоровелПонятно, что пользователи хотят дополнительную защиту для таких дорогих инвестиций.

LoJax использует драйвер ядра, RwDrv.sys, чтобы получить доступ к настройкам BIOS / UEFI. Драйвер ядра в комплекте с RWEverything, законным инструментом, используемым для чтения и анализа низкоуровневых настроек компьютера (биты, к которым у вас обычно нет доступа). В процессе заражения руткитами LoJax было еще три инструмента:

• Первый инструмент выводит информацию о низкоуровневых системных настройках (скопированных из RWEverything) в текстовый файл. Обход защиты системы от вредоносных обновлений прошивки требует знания системы.
• Второй инструмент «сохраняет образ прошивки системы в файл, читая содержимое флэш-памяти SPI». Флэш-память SPI содержит UEFI / BIOS.
• Третий инструмент добавляет вредоносный модуль в образ прошивки, а затем записывает его обратно во флэш-память SPI.

Если LoJax понимает, что флэш-память SPI защищена, он использует известную уязвимость (CVE-2014-8273), чтобы получить к нему доступ, затем продолжает и записывает руткит в память.

Откуда появился LoJax?

Исследовательская группа ESET полагает, что LoJax - работа печально известной российской хакерской группы Fancy Bear / Sednit / Strontium / APT28. Хакерская группа несет ответственность за несколько крупных атак в последние годы.

LoJax использует те же серверы управления и контроля, что и SedUploader - еще одно вредоносное ПО Sednit. LoJax также имеет ссылки и следы других вредоносных программ Sednit, включая XAgent (еще один бэкдор-инструмент) и XTunnel (инструмент защищенного сетевого прокси-сервера).

Кроме того, исследование ESET показало, что операторы вредоносных программ «использовали различные компоненты Вредоносное ПО LoJax для нескольких правительственных организаций на Балканах, а также в Центральной и Восточной Европе. Европа."

LoJax - не первый руткит UEFI

Известие о LoJax определенно заставило мир безопасности сесть и принять к сведению. Однако это не первый руткит UEFI. The Hacking Team (вредоносная группа, на случай, если вам интересно) использовал руткит UEFI / BIOS еще в 2015 году, чтобы агент системы удаленного управления был установлен в целевых системах.

Основное различие между руткитом UEFI The Hacking Team и LoJax заключается в способе доставки. В то время исследователи безопасности считали, что команде Hacking требуется физический доступ к системе для установки заражения на уровне прошивки. Конечно, если кто-то имеет прямой доступ к вашему компьютеру, он может делать то, что хочет. Тем не менее, руткит UEFI особенно неприятен.

Ваша система находится в опасности от LoJax?

Современные системы на основе UEFI имеют несколько явных преимуществ по сравнению со своими старыми аналогами на основе BIOS.

Во-первых, они новее. Новое оборудование - это еще не все, но оно делает многие вычислительные задачи проще.

Во-вторых, UEFI-прошивка также имеет несколько дополнительных функций безопасности. Особо следует отметить Secure Boot, который позволяет запускать только программы с цифровой подписью.

Если это отключено, и вы столкнетесь с руткитом, у вас будет плохое время. Безопасная загрузка - особенно полезный инструмент в нынешнем веке вымогателей. Посмотрите следующее видео о безопасной загрузке, посвященное чрезвычайно опасному вымогателю NotPetya:

NotPetya зашифровал бы все в целевой системе, если бы Secure Boot был выключен.

LoJax - это совсем другой зверь. Вопреки более ранним сообщениям, даже Безопасная загрузка не может остановить LoJax. Поддержание вашей прошивки UEFI в актуальном состоянии чрезвычайно важно. Существуют некоторые специализированные инструменты против руткитов Полное руководство по удалению вредоносных программВ наши дни вредоносное ПО повсеместно, и его удаление из системы - длительный процесс, требующий руководства. Если вы считаете, что ваш компьютер заражен, вам нужно это руководство. Подробнее тоже, но неясно, смогут ли они защитить от LoJax.

Однако, как и многие угрозы с таким уровнем возможностей, ваш компьютер является основной целью. Передовые вредоносные программы преимущественно ориентированы на высокоуровневые цели. Кроме того, у LoJax есть признаки причастности к угрозе со стороны государства-государства; еще один сильный шанс, что LoJax не повлияет на вас в краткосрочной перспективе. Тем не менее, вредоносные программы имеют способ фильтрации в мире. Если киберпреступники заметят успешное использование LoJax, это может стать более распространенным явлением в регулярных атаках вредоносных программ.

Как всегда, поддержание вашей системы в актуальном состоянии - один из лучших способов защитить вашу систему. Также очень полезна подписка на Malwarebytes Premium. 5 причин для перехода на Malwarebytes Premium: да, оно того стоитХотя бесплатная версия Malwarebytes потрясающая, премиум-версия имеет множество полезных и полезных функций. Подробнее