Rus Hacker'lar tarafından geliştirilen "LoJax" UEFI Rootkit Nedir?

İlan

Bir rootkit özellikle kötü amaçlı bir kötü amaçlı yazılım türüdür. İşletim sistemine girdiğinizde “düzenli” kötü amaçlı yazılım bulaşması yüklenir. Bu hala kötü bir durum, ancak iyi bir antivirüs kötü amaçlı yazılımı kaldırmalı ve sisteminizi temizlemelidir.

Tersine, bir rootkit sistem belleniminize yüklenir ve sisteminizi her yeniden başlattığınızda kötü amaçlı bir yükün yüklenmesine izin verir.

Güvenlik araştırmacıları, vahşi doğada LoJax adında yeni bir rootkit varyantını tespit ettiler. Bu rootkit'i diğerlerinden ayıran nedir? Eski BIOS tabanlı sistemlerden ziyade modern UEFI tabanlı sistemlere bulaşabilir. Ve bu bir problem.

LoJax UEFI Rootkit

ESET Araştırma yayınlanan yeni keşfedilen bir rootkit olan LoJax'ı detaylandıran bir araştırma makalesi (rootkit nedir?) aynı adı taşıyan ticari yazılımı başarıyla yeniden amaçlayan). (Araştırma ekibi “LoJax” kötü amaçlı yazılımını vaftiz etmiş olsa da, orijinal yazılım “LoJack” olarak adlandırılır.)

Tehdide ek olarak, LoJax tam bir Windows yeniden kurulumundan ve hatta sabit sürücünün değiştirilmesinden kurtulabilir.

Kötü amaçlı yazılım, UEFI ürün yazılımı önyükleme sistemine saldırarak hayatta kalır. Diğer rootkit'ler sürücülerde veya önyükleme kesimlerinde gizlenebilir Bootkit Nedir ve Nemesis Gerçek Bir Tehdit midir?Bilgisayar korsanları, bootkit gibi sisteminizi bozmanın yollarını bulmaya devam eder. Bir bootkit'in ne olduğuna, Nemesis varyantının nasıl çalıştığına bakalım ve net kalmak için neler yapabileceğinizi düşünelim. Daha fazla oku , kodlarına ve saldırganın amacına bağlı olarak. LoJax, sistem yazılımına bağlanır ve işletim sistemi yüklenmeden önce sistemi yeniden enfekte eder.

Henüz, LoJax kötü amaçlı yazılımını tamamen kaldırmak için bilinen tek yöntem şüpheli sistem üzerinde yeni ürün yazılımı yanıp sönüyor Windows'ta UEFI BIOS'nizi GüncellemeÇoğu PC kullanıcısı BIOS'larını hiç güncellemeden geçer. Bununla birlikte, kararlılığın sürekliliğini önemsiyorsanız, bir güncellemenin olup olmadığını düzenli olarak kontrol etmelisiniz. UEFI BIOS'nizi nasıl güvenle güncelleyeceğinizi gösteriyoruz. Daha fazla oku . Bir ürün yazılımı flaşı çoğu kullanıcının deneyimlediği bir şey değildir. Geçmişte olduğundan daha kolay olsa da, bir bellenimin yanıp sönmesinin yanlış gideceği ve söz konusu makineyi potansiyel olarak tuğlalayacağı önemli.

LoJax Rootkit Nasıl Çalışır?

LoJax, Absolute Software’in LoJack hırsızlık önleme yazılımının yeniden paketlenmiş bir sürümünü kullanır. Orijinal aracın, sistem silme veya sabit sürücü değiştirme işlemi boyunca kalıcı olması amaçlanmıştır, böylece lisans sahibi çalınmış bir cihazı izleyebilir. Aletin bilgisayara bu kadar derin girmesinin nedenleri oldukça meşrudur ve LoJack hala bu kesin nitelikler için popüler bir hırsızlık önleme ürünüdür.

ABD'de çalınan dizüstü bilgisayarların yüzde 97'sinin asla iyileşmedianlaşılır kullanıcılar, bu kadar pahalı bir yatırım için ekstra koruma ister.

LoJax bir çekirdek sürücüsü kullanıyor, RwDrv.sys, BIOS / UEFI ayarlarına erişmek için. Çekirdek sürücüsü, düşük düzey bilgisayar ayarlarını (normalde erişiminiz olmayan bitler) okumak ve analiz etmek için kullanılan meşru bir araç olan RWEverything ile birlikte gelir. LoJax rootkit enfeksiyon işleminde üç araç daha vardı:

• İlk araç, düşük düzeyli sistem ayarları (RWEverything'den kopyalanan) hakkındaki bilgileri bir metin dosyasına döker. Kötü niyetli ürün yazılımı güncellemelerine karşı sistem korumasını atlamak, sistem hakkında bilgi gerektirir.
• İkinci araç “sistem belleniminin görüntüsünü SPI flash belleğinin içeriğini okuyarak bir dosyaya kaydeder.” SPI flash bellek UEFI / BIOS'u barındırır.
• Üçüncü bir araç, kötü amaçlı modülü ürün yazılımı görüntüsüne ekler ve daha sonra SPI flaş belleğine geri yazar.

LoJax, SPI flash belleğin korunduğunu fark ederse, bilinen bir güvenlik açığından yararlanır (CVE-2014-8273), daha sonra devam eder ve rootkit'i belleğe yazar.

LoJax Nereden Geldi?

ESET Araştırma ekibi, LoJax'ın ünlü Fancy Bear / Sednit / Strontium / APT28 Rus hack grubunun işi olduğuna inanıyor. Bilgisayar korsanlığı grubu son yıllarda meydana gelen büyük saldırılardan sorumlu.

LoJax, başka bir Sednit arka kapı kötü amaçlı yazılımı olan SedUploader ile aynı komut ve kontrol sunucularını kullanır. LoJax ayrıca XAgent (başka bir arka kapı aracı) ve XTunnel (güvenli bir ağ proxy aracı) dahil olmak üzere diğer Sednit kötü amaçlı yazılımlarının bağlantılarına ve izlerine sahiptir.

Ayrıca, ESET araştırması, kötü amaçlı yazılım operatörlerinin " Balkanlar'ın yanı sıra Orta ve Doğu'daki birkaç devlet kuruluşunu hedeflemek için LoJax kötü amaçlı yazılım Avrupa."

LoJax İlk UEFI Rootkit Değil

LoJax'ın haberleri kesinlikle güvenlik dünyasının oturmasına ve not almasına neden oldu. Ancak, ilk UEFI kök kiti değil. Hacking Team (kötü niyetli bir grup, merak ediyorsanız) bir UEFI / BIOS kök kiti kullanıyordu hedef sistemlerde yüklü bir uzaktan kumanda sistem aracısını tutmak için 2015 yılında geri döndü.

Hacking Team UEFI rootkit ve LoJax arasındaki en büyük fark teslimat yöntemidir. O zaman, güvenlik araştırmacıları Hacking Team'in ürün yazılımı düzeyindeki enfeksiyonu yüklemek için bir sisteme fiziksel erişim gerektirdiğini düşündüler. Tabii ki, birinin bilgisayarınıza doğrudan erişimi varsa, istediklerini yapabilir. Yine de, UEFI rootkit özellikle kötü.

Sisteminiz LoJax'tan Risk Altında mı?

Modern UEFI tabanlı sistemler, eski BIOS tabanlı meslektaşlarına göre birçok farklı avantaja sahiptir.

Birincisi, daha yeniler. Yeni donanım hepsi ve hepsi değil, ancak birçok bilgi işlem görevini kolaylaştırır.

İkincisi, UEFI sabit yazılımının birkaç ek güvenlik özelliği de vardır. Özellikle dikkat edilmesi gereken, Güvenli Önyükleme, yalnızca imzalı dijital imzası olan programların çalışmasına izin verir.

Bu kapalıysa ve bir rootkit ile karşılaşırsanız, kötü bir zaman geçireceksiniz. Güvenli Önyükleme, fidye yazılımının mevcut çağında da özellikle yararlı bir araçtır. Son derece tehlikeli NotPetya fidye yazılımı ile ilgilenen aşağıdaki Güvenli Önyükleme videosuna göz atın:

NotPetya, Güvenli Önyükleme kapatılsaydı hedef sistemdeki her şeyi şifreleyecekti.

LoJax tamamen farklı bir canavardır. Önceki raporların aksine, Güvenli Önyükleme bile LoJax'ı durduramaz. UEFI ürün yazılımınızı güncel tutmak son derece önemlidir. Var bazı özel anti-rootkit araçları Komple Kötü Amaçlı Yazılımları Temizleme KılavuzuKötü amaçlı yazılımlar bugünlerde her yerde ve kötü amaçlı yazılımları sisteminizden kaldırmak uzun bir süreçtir ve rehberlik gerektirir. Bilgisayarınıza virüs bulaştığını düşünüyorsanız, ihtiyacınız olan kılavuz budur. Daha fazla oku Ayrıca, LoJax'a karşı koruma sağlayıp sağlayamadıkları belirsizdir.

Ancak, bu yetenek düzeyindeki birçok tehdit gibi, bilgisayarınız da birincil hedeftir. Gelişmiş kötü amaçlı yazılım ağırlıklı olarak üst düzey hedeflere odaklanır. Dahası, LoJax ulus devlet tehdidi aktörlerinin katılımına dair işaretlere sahiptir; bir başka güçlü şans LoJax'ın sizi kısa vadede etkilememesi. Bununla birlikte, kötü amaçlı yazılımın dünyaya süzülmenin bir yolu var. Siber suçlular LoJax'ın başarılı kullanımını tespit ederse, normal kötü amaçlı yazılım saldırılarında daha yaygın hale gelebilir.

Her zamanki gibi, sisteminizi güncel tutmak sisteminizi korumanın en iyi yollarından biridir. Malwarebytes Premium aboneliği de çok yardımcıdır. Malwarebytes Premium'a Yükseltmek için 5 Neden: Evet, Buna DeğerMalwarebytes'in ücretsiz sürümü harika olsa da, premium sürüm bir sürü yararlı ve değerli özelliklere sahiptir. Daha fazla oku