Che cos'è il rootkit UEFI "LoJax" sviluppato dagli hacker russi?

Annuncio pubblicitario

Un rootkit è un tipo di malware particolarmente brutto. Un'infezione da malware "regolare" viene caricata quando si accede al sistema operativo. È ancora una brutta situazione, ma un antivirus decente dovrebbe rimuovere il malware e ripulire il sistema.

Al contrario, un rootkit si installa nel firmware del sistema e consente l'installazione di un payload dannoso ogni volta che si riavvia il sistema.

I ricercatori della sicurezza hanno individuato una nuova variante di rootkit in natura, chiamata LoJax. Cosa distingue questo rootkit dagli altri? Bene, può infettare i moderni sistemi basati su UEFI, piuttosto che i vecchi sistemi basati su BIOS. E questo è un problema.

Il Rootkit UEFI LoJax

Ricerca ESET pubblicato un documento di ricerca che dettaglia LoJax, un rootkit appena scoperto (che cos'è un rootkit?) che riutilizza con successo un software commerciale con lo stesso nome. (Sebbene il team di ricerca abbia battezzato il malware "LoJax", il software originale si chiama "LoJack".)

Aggiungendo alla minaccia, LoJax può sopravvivere a una reinstallazione completa di Windows e persino alla sostituzione del disco rigido.

Il malware sopravvive attaccando il sistema di avvio del firmware UEFI. Altro i rootkit potrebbero nascondersi nei driver o nei settori di avvio Che cos'è un Bootkit e Nemesis è una vera minaccia?Gli hacker continuano a trovare modi per interrompere il sistema, come il bootkit. Diamo un'occhiata a cos'è un bootkit, come funziona la variante di Nemesis e consideriamo cosa puoi fare per essere chiaro. Leggi di più , a seconda della loro codifica e dell'intento dell'attaccante. LoJax si aggancia al firmware del sistema e reinfetta il sistema prima che il sistema operativo venga caricato.

Al momento, l'unico metodo noto per rimuovere completamente il malware LoJax è nuovo firmware lampeggiante sul sistema sospetto Come aggiornare il BIOS UEFI in WindowsLa maggior parte degli utenti di PC passa senza mai aggiornare il proprio BIOS. Se ti interessa la stabilità continua, tuttavia, dovresti controllare periodicamente se è disponibile un aggiornamento. Ti mostriamo come aggiornare in sicurezza il tuo BIOS UEFI. Leggi di più . Un flash del firmware non è qualcosa con cui molti utenti hanno esperienza. Sebbene sia più semplice che in passato, è ancora significativo che il flashing di un firmware vada storto, potenzialmente mettendo a rischio la macchina in questione.

Come funziona LoJax Rootkit?

LoJax utilizza una versione riconfezionata del software antifurto LoJack di Absolute Software. Lo strumento originale è pensato per essere persistente durante la cancellazione del sistema o la sostituzione del disco rigido in modo che il licenziatario possa rintracciare un dispositivo rubato. Le ragioni per cui gli strumenti che scavano così profondamente nel computer sono abbastanza legittimi e LoJack è ancora un popolare prodotto antifurto per queste esatte qualità.

Dato che, negli Stati Uniti, il 97 percento dei laptop rubati lo è mai recuperato, è comprensibile che gli utenti desiderino una protezione aggiuntiva per un investimento così costoso.

LoJax utilizza un driver del kernel, RwDrv.sys, per accedere alle impostazioni BIOS / UEFI. Il driver del kernel è in bundle con RWEverything, uno strumento legittimo utilizzato per leggere e analizzare le impostazioni del computer di basso livello (bit a cui normalmente non si ha accesso). C'erano altri tre strumenti nel processo di infezione del rootkit LoJax:

• Il primo strumento scarica le informazioni sulle impostazioni di sistema di basso livello (copiate da RWEverything) in un file di testo. Bypassare la protezione del sistema contro gli aggiornamenti del firmware dannosi richiede la conoscenza del sistema.
• Il secondo strumento "salva un'immagine del firmware del sistema in un file leggendo il contenuto della memoria flash SPI". La memoria flash SPI ospita UEFI / BIOS.
• Un terzo strumento aggiunge il modulo dannoso all'immagine del firmware, quindi lo riscrive nella memoria flash SPI.

Se LoJax si rende conto che la memoria flash SPI è protetta, sfrutta una vulnerabilità nota (CVE-2014-8273) per accedervi, quindi continua e scrive il rootkit in memoria.

Da dove viene LoJax?

Il team di ricerca ESET ritiene che LoJax sia opera del famigerato gruppo di hacking russo Fancy Bear / Sednit / Strontium / APT28. Il gruppo di hacking è responsabile di numerosi attacchi importanti negli ultimi anni.

LoJax utilizza gli stessi server di comando e controllo di SedUploader, un altro malware backdoor Sednit. LoJax ha anche collegamenti e tracce di altri malware Sednit, tra cui XAgent (un altro strumento backdoor) e XTunnel (uno strumento proxy di rete sicuro).

Inoltre, la ricerca ESET ha scoperto che gli operatori di malware "utilizzavano diversi componenti di Malware LoJax per colpire alcune organizzazioni governative nei Balcani, nonché centrale e orientale Europa."

LoJax non è il primo rootkit UEFI

Le notizie di LoJax hanno sicuramente indotto il mondo della sicurezza a sedersi e prendere nota. Tuttavia, non è il primo rootkit UEFI. The Hacking Team (un gruppo malizioso, nel caso ti stavi chiedendo) stava usando un rootkit UEFI / BIOS nel 2015 per mantenere un agente di sistema di controllo remoto installato sui sistemi di destinazione.

La principale differenza tra il rootkit UEFI di The Hacking Team e LoJax è il metodo di consegna. A quel tempo, i ricercatori della sicurezza pensavano che The Hacking Team richiedesse l'accesso fisico a un sistema per installare l'infezione a livello di firmware. Naturalmente, se qualcuno ha accesso diretto al tuo computer, può fare quello che vuole. Tuttavia, il rootkit UEFI è particolarmente brutto.

Il tuo sistema è a rischio da LoJax?

I moderni sistemi basati su UEFI presentano numerosi vantaggi distinti rispetto alle loro precedenti controparti basate su BIOS.

Per uno, sono più recenti. Il nuovo hardware non è tutto e finisce tutto, ma semplifica molte attività di elaborazione.

In secondo luogo, anche il firmware UEFI ha alcune funzionalità di sicurezza aggiuntive. Particolarmente degno di nota è Secure Boot, che consente solo l'esecuzione di programmi con firma digitale firmata.

Se questa opzione è disattivata e si riscontra un rootkit, si passerà un brutto momento. Secure Boot è uno strumento particolarmente utile anche nell'era attuale del ransomware. Guarda il seguente video di Secure Boot relativo al ransomware NotPetya estremamente pericoloso:

NotPetya avrebbe crittografato tutto sul sistema di destinazione se l'opzione Avvio protetto fosse stata disattivata.

LoJax è un diverso tipo di bestia del tutto. Contrariamente ai rapporti precedenti, anche Secure Boot non può arrestare LoJax. Mantenere aggiornato il firmware UEFI è estremamente importante. Ci sono alcuni strumenti specializzati anti-rootkit La guida completa alla rimozione di malwareIl malware è ovunque in questi giorni e l'eradicazione del malware dal sistema è un processo lungo, che richiede una guida. Se ritieni che il tuo computer sia infetto, questa è la guida di cui hai bisogno. Leggi di più anche, ma non è chiaro se possono proteggere da LoJax.

Tuttavia, come molte minacce con questo livello di funzionalità, il tuo computer è un obiettivo primario. Il malware avanzato si concentra principalmente su obiettivi di alto livello. Inoltre, LoJax ha le indicazioni del coinvolgimento dell'attore di minaccia dello stato-nazione; un'altra grande possibilità che LoJax non ti influenzerà a breve termine. Detto questo, il malware ha un modo per filtrare nel mondo. Se i criminali informatici individuano l'uso riuscito di LoJax, potrebbe diventare più comune nei normali attacchi di malware.

Come sempre, mantenere aggiornato il sistema è uno dei modi migliori per proteggere il sistema. Anche un abbonamento a Malwarebytes Premium è di grande aiuto. 5 motivi per passare a Malwarebytes Premium: Sì, ne vale la penaMentre la versione gratuita di Malwarebytes è fantastica, la versione premium ha un sacco di funzioni utili e utili. Leggi di più