Wat is de "LoJax" UEFI Rootkit ontwikkeld door Russische hackers?

Advertentie

Een rootkit is een bijzonder vervelende vorm van malware. Een "gewone" malware-infectie wordt geladen wanneer u het besturingssysteem binnengaat. Het is nog steeds een slechte situatie, maar een degelijke antivirus moet de malware verwijderen en je systeem opruimen.

Omgekeerd wordt een rootkit op uw systeemfirmware geïnstalleerd en kan elke keer dat u uw systeem opnieuw opstart een kwaadaardige payload worden geïnstalleerd.

Beveiligingsonderzoekers hebben in het wild een nieuwe rootkit-variant ontdekt, genaamd LoJax. Wat onderscheidt deze rootkit van andere? Welnu, het kan moderne op UEFI gebaseerde systemen infecteren, in plaats van oudere op BIOS gebaseerde systemen. En dat is een probleem.

De LoJax UEFI Rootkit

ESET-onderzoek gepubliceerd een onderzoekspaper met details over LoJax, een nieuw ontdekte rootkit (wat is een rootkit?) die met succes een commerciële software met dezelfde naam hergebruikt. (Hoewel het onderzoeksteam de malware "LoJax" doopte, heet de echte software "LoJack".)

Naast de dreiging kan LoJax een volledige herinstallatie van Windows en zelfs vervanging van de harde schijf overleven.

De malware overleeft door het UEFI-firmware-opstartsysteem aan te vallen. Andere rootkits kunnen zich verbergen in stuurprogramma's of opstartsectoren Wat is een bootkit en is Nemesis een echte bedreiging?Hackers blijven manieren vinden om uw systeem te verstoren, zoals de bootkit. Laten we eens kijken wat een bootkit is, hoe de Nemesis-variant werkt en kijken wat u kunt doen om duidelijk te blijven. Lees verder , afhankelijk van hun codering en de bedoeling van de aanvaller. LoJax haakt in op de systeemfirmware en infecteert het systeem opnieuw voordat het besturingssysteem zelfs wordt geladen.

Tot nu toe is de enige bekende methode om de LoJax-malware volledig te verwijderen knipperende nieuwe firmware over het verdachte systeem Hoe u uw UEFI BIOS in Windows kunt updatenDe meeste pc-gebruikers gaan zonder hun BIOS ooit bij te werken. Als u echter voor blijvende stabiliteit zorgt, moet u regelmatig controleren of er een update beschikbaar is. We laten u zien hoe u uw UEFI BIOS veilig kunt bijwerken. Lees verder . Een firmwareflits is niet iets waar de meeste gebruikers ervaring mee hebben. Hoewel het gemakkelijker is dan in het verleden, is er nog steeds een groot verschil dat het flitsen van een firmware fout zal gaan, waardoor de betreffende machine mogelijk wordt gemetseld.

Hoe werkt de LoJax Rootkit?

LoJax gebruikt een herverpakte versie van de LoJack-antidiefstalsoftware van Absolute Software. De originele tool is bedoeld om te blijven bestaan ​​tijdens het wissen van het systeem of het vervangen van de harde schijf, zodat de licentiehouder een gestolen apparaat kan volgen. De redenen waarom de tool zo diep in de computer is ingegraven, zijn redelijk legitiem en LoJack is nog steeds een populair antidiefstalproduct voor deze exacte kwaliteiten.

Gezien het feit dat in de VS 97 procent van de gestolen laptops dat is nooit hersteld, het is begrijpelijk dat gebruikers extra bescherming willen voor zo'n dure investering.

LoJax gebruikt een kerneldriver, RwDrv.sys, om toegang te krijgen tot de BIOS / UEFI-instellingen. De kerneldriver is gebundeld met RWEverything, een legitiem hulpmiddel dat wordt gebruikt om computerinstellingen op laag niveau te lezen en te analyseren (bits waar u normaal geen toegang toe heeft). Er waren drie andere tools in het LoJax-rootkit-infectieproces:

• De eerste tool dumpt informatie over de low-level systeeminstellingen (gekopieerd van RWEverything) naar een tekstbestand. Om systeembescherming te omzeilen tegen schadelijke firmware-updates is kennis van het systeem vereist.
• De tweede tool "slaat een afbeelding van de systeemfirmware op in een bestand door de inhoud van het SPI-flashgeheugen te lezen." Het SPI-flashgeheugen host de UEFI / BIOS.
• Een derde tool voegt de kwaadaardige module toe aan de firmware-image en schrijft deze terug naar het SPI-flashgeheugen.

Als LoJax beseft dat het SPI-flashgeheugen is beschermd, maakt het misbruik van een bekend beveiligingslek (CVE-2014-8273) om er toegang toe te krijgen, gaat dan verder en schrijft de rootkit naar het geheugen.

Waar komt LoJax vandaan?

Het ESET Research-team is van mening dat LoJax het werk is van de beruchte Russische hackgroep Fancy Bear / Sednit / Strontium / APT28. De hackgroep is verantwoordelijk voor verschillende grote aanvallen van de afgelopen jaren.

LoJax gebruikt dezelfde opdracht- en controleservers als SedUploader - een andere Sednit-backdoor-malware. LoJax heeft ook links en sporen van andere Sednit-malware, waaronder XAgent (een andere backdoor-tool) en XTunnel (een veilige netwerkproxy-tool).

Bovendien bleek uit het ESET-onderzoek dat de malware-operatoren “verschillende componenten van de LoJax-malware voor enkele overheidsorganisaties in de Balkan en Centraal- en Oost-Europa Europa."

LoJax is niet de eerste UEFI-rootkit

Het nieuws van LoJax zorgde er zeker voor dat de beveiligingswereld rechtop ging zitten en kennis nam. Het is echter niet de eerste UEFI-rootkit. The Hacking Team (een kwaadaardige groep, voor het geval je je dit afvroeg) gebruikte een UEFI / BIOS-rootkit terug in 2015 om een ​​systeembeheerder op afstand op doelsystemen geïnstalleerd te houden.

Het belangrijkste verschil tussen The Hacking Team UEFI rootkit en LoJax is de manier van bezorgen. Destijds dachten beveiligingsonderzoekers dat The Hacking Team fysieke toegang tot een systeem nodig had om de infectie op firmwareniveau te installeren. Als iemand direct toegang heeft tot uw computer, kunnen ze natuurlijk doen wat ze willen. Toch is de UEFI-rootkit bijzonder smerig.

Loopt uw ​​systeem risico op LoJax?

Moderne op UEFI gebaseerde systemen hebben verschillende duidelijke voordelen ten opzichte van hun oudere op BIOS gebaseerde tegenhangers.

Ten eerste zijn ze nieuwer. Nieuwe hardware is niet alles, maar het maakt veel computertaken eenvoudiger.

Ten tweede heeft UEFI-firmware ook een paar extra beveiligingsfuncties. Bijzonder opmerkelijk is Secure Boot, waardoor alleen programma's met een ondertekende digitale handtekening kunnen worden uitgevoerd.

Als dit is uitgeschakeld en je een rootkit tegenkomt, zul je een slechte tijd hebben. Secure Boot is ook een bijzonder nuttige tool in het huidige tijdperk van ransomware. Bekijk de volgende video van Secure Boot over de uiterst gevaarlijke NotPetya-ransomware:

NotPetya zou alles op het doelsysteem hebben gecodeerd als Secure Boot was uitgeschakeld.

LoJax is helemaal een ander soort beest. In tegenstelling tot eerdere rapporten, kan zelfs Secure Boot LoJax niet stoppen. Het up-to-date houden van uw UEFI-firmware is uiterst belangrijk. Er zijn enkele gespecialiseerde anti-rootkit-tools De complete gids voor het verwijderen van malwareMalware is tegenwoordig overal en het verwijderen van malware van uw systeem is een langdurig proces dat begeleiding vereist. Als u denkt dat uw computer is geïnfecteerd, is dit de gids die u nodig heeft. Lees verder , maar het is onduidelijk of ze kunnen beschermen tegen LoJax.

Maar net als veel andere bedreigingen met dit niveau, is uw computer een belangrijk doelwit. Geavanceerde malware richt zich voornamelijk op doelen op hoog niveau. Verder heeft LoJax de indicaties van betrokkenheid van nationale dreigingsactoren; nog een grote kans dat LoJax u op korte termijn niet zal raken. Dat gezegd hebbende, malware heeft een manier om de wereld in te filteren. Als cybercriminelen het succesvolle gebruik van LoJax opmerken, kan het vaker voorkomen bij reguliere malware-aanvallen.

Zoals altijd is het up-to-date houden van uw systeem een ​​van de beste manieren om uw systeem te beschermen. Een Malwarebytes Premium-abonnement is ook een grote hulp. 5 redenen om te upgraden naar Malwarebytes Premium: Ja, het is het waardHoewel de gratis versie van Malwarebytes geweldig is, heeft de premium-versie een heleboel nuttige en waardevolle functies. Lees verder