Trooja Lojaxi pahavara | Ilmus esimene UEFI pahavara

Trooja Lojaxi pahavara | Ilmus esimene UEFI pahavara

Ajatempel: 5. oktoober 2018 2:30

UEFI-juurkomplekt Lugemisaeg: 3 protokoll

UEFI-juurkomplekt

Mäletan veidi aega tagasi, aasta oli 2011. Need olid minu viimased Windowsi tehnilise toe päevad enne küberturvalisusele spetsialiseerumist. Mina ostaksin Maximum PC ajakirjad trükituna, sest reegel "raamatuid ega ajakirju teie lauas pole" välistas väga konkreetselt kõik arvutitehnoloogiaga seonduva. Seega pidi Psychology Today ootama, kuni ma bussiga koju sõitsin.

Igatahes oli ühel sellel aastal väljaandel UEFI funktsioon, tehnoloogia, mis hakkas just tavaarvutites levima. Parema kvaliteediga emaplaatidel Intel Core i5 ja i7 jaoks oli tollal UEFI usaldusväärne. Nüüd 2018. aastal on ebatavaline, et uuel x86-64/amd64 emaplaadil on vanamoodne BIOS, UEFI on nüüd standardne. UEFI tähistab ühtset laiendatavat püsivara liidest, mis on keerukam püsivara stiil, mis kontrollib arvuti riistvarakomponentide toimimist enne operatsioonisüsteemi käivitamist. Mulle meeldis vaadata UEFI GUI-sid, kõiki lisavõimalusi ja isegi hiire tuge! Võrguühenduse võimalus enne operatsioonisüsteemi käivitamist kõlas paljulubavalt. Suurem osa minu tööst oli tollal kaugtugi ja mulle oleks väga mugav, kui saaksin ise riistvara konfiguratsiooni või alglaadimisjärjekorra probleeme lahendada. Kuna sain kasutaja arvutisse kaugjuhtimispuldi kasutada alles siis, kui Windows töötab, paneks see tõesti proovile mu kannatuse anda kasutajatele telefoni teel juhiseid. "Peate muutma alglaadimisjärjekorda, et saaksime Windowsi teie DVD-lt uuesti installida." "Ma pean, et vajutaksite F8 õigel ajal, et saaksite Windowsi turvarežiimi käivitada." Mõnikord ei olnud mu kliendid väga arvutioskajad ja see oli minu töö keeruline osa.

Aga kuna ma juba mõtlesin nagu a küberturvalisus Professionaalne, valmistas mulle muret ka UEFI suurenenud küberründepind võrreldes BIOS-põhiste süsteemidega. Küberründaja võib enne operatsioonisüsteemi käivitamist sihtarvuti kaugjuhtimispuldi kaudu hävitada!

Ma olen tegelikult üllatunud, et UEFI olemasoluks kulus aastani 2018 rootkit pahavara see pole lihtsalt kontseptsiooni tõestus.

LoJax on Absolute Software'i mittepahatahtliku LoJacki vargusvastase tarkvara pahatahtlik hark. LoJaxi varasemaid versioone märgati 2017. aasta esimesel poolel. Selle BIOS-i ja UEFI püsivusfunktsioon oli põnev. Teadlased selgitasid kuidas seda funktsiooni rakendati Computrace'is, mis on seadusliku LoJacki tarkvara eelkäija:

"Computrace äratas turvaringkondade tähelepanu eelkõige oma ebatavalise püsivusmeetodi tõttu. Kuna selle tarkvara eesmärk on kaitsta süsteemi riistvara varguse eest, on oluline, et see oleks vastu OS-i uuesti installimisele või kõvaketta asendamisele. Seega on see rakendatud UEFI/BIOS-moodulina, mis suudab selliseid sündmusi üle elada. See lahendus on eelinstallitud paljude erinevate originaalseadmete tootjate toodetud sülearvutite püsivarasse ja ootab kasutajate aktiveerimist. Seda aktiveerimisetappi saab teha BIOS-i valiku kaudu.

LoJax on relv APT (Advanced Persistent Oh) rünnakute jaoks. Seetõttu on LoJaxi rünnakud väga sihitud. Kui pahavara juurutatakse ja nakatab sihitud masinat, saavad küberründajad juhtida arvutit UEFI tasemel ja näha ka tundlikke andmeid riistvarakonfiguratsioonide kohta, nagu PCI Express, Memory ja PCI Option ROM.

LoJaxi rünnaku esimene etapp on DXE draiveri komponendi käivitamine Windowsi masinas. Kuna draiver on allkirjastamata, ei tööta see, kui turvaline alglaadimine on lubatud.

Kui draiver juurutub nii, nagu küberründaja ette nägi, luuakse funktsiooniga Teavita seotud sündmus. Sündmus käivitub, kui UEFI alglaadimishaldur valib alglaadimisseadme. Sellest hetkest alates kirjutatakse kasulikud koormused Windows NTFS-failisüsteemi. Siis avaldub LoJax nagu haigus, nakatades nii UEFI-d kui ka operatsioonisüsteemi. Püsivust säilitades saavad küberründajad käsu- ja juhtimisserverid sihtmasina üle isegi suurema kontrolli kui tavaline RAT (Remote Access trooja) nakatunud arvuti.

Teadlased on peaaegu täiesti kindlad, et LoJax on venelase töö Sednit APT mitmel erineval põhjusel. Venemaad kahtlustatakse, kuna Balkanil, Kesk- ja Ida-Euroopas leiti valitsuse arvutitest LoJaxi nakkusi. ning LoJaxi käsu- ja juhtserveritega seotud domeeninimed on lingitud spetsiaalselt Sednitiga.

Kuna LoJack on seaduslik tarkvara, viirusetõrjetarkvara lisab selle omadused sageli valgesse nimekirja. Pahatahtlik LoJaxi kood on peamiselt sama, mis healoomuline LoJack, nii et see libiseb läbi pragude.

UEFI püsivara ajakohasena hoidmine võib LoJaxi nakkusi ära hoida. Turvalise alglaadimise lubamine takistab LoJaxi allkirjastamata draiveri töötamist. Lisaks võivad täiustatud ja sageli paigatud pahavara tuvastamise heuristika (nagu Comodo oma) takistada pahavara, nagu LoJax, teie võrku nakatamast.

Seotud ressurss

Veebisaidi pahavara skanner

ALUSTA TASUTA KATSET HANKIGE TASUTA OMA INSTANT TURVAKARTI

Ajatempel:

Veel alates Küberturvalisuse Comodo