Trojan Lojax Malware | Malware UEFI Pertama Ditemukan

Waktu Membaca: 3 menit

Saya ingat beberapa waktu yang lalu, tahun itu 2011. Itu adalah yang terakhir dari konsumen saya dukungan teknologi Windows beberapa hari sebelum saya mengkhususkan diri dalam cybersecurity. Saya akan membeli majalah PC Maksimum dalam bentuk cetak, karena "tidak ada buku atau majalah di meja Anda" secara khusus mengecualikan apa pun yang terkait dengan teknologi komputer. Jadi Psikologi Hari ini harus menunggu sampai saya naik bus pulang.

Bagaimanapun, satu edisi tahun itu memiliki fitur di UEFI, sebuah teknologi yang baru saja mulai menjadi lebih umum di PC konsumen. Motherboard berkualitas lebih baik untuk Intel Core i5 dan i7 andal memiliki UEFI saat itu. Sekarang pada tahun 2018, tidak biasa motherboard x86-64/amd64 baru memiliki BIOS kuno, UEFI sekarang menjadi standar. UEFI adalah singkatan dari Unified Extensible Firmware Interface, gaya firmware yang lebih canggih untuk memeriksa apakah komponen perangkat keras PC berfungsi sebelum mem-boot ke sistem operasi Anda. Saya suka melihat UEFI GUIs, semua opsi tambahan dan bahkan dukungan mouse! Kemungkinan konektivitas jaringan sebelum boot ke sistem operasi terdengar menjanjikan. Sebagian besar pekerjaan saya saat itu adalah dukungan jarak jauh, dan akan sangat nyaman bagi saya untuk dapat memperbaiki konfigurasi perangkat keras atau masalah urutan boot sendiri. Karena saya hanya dapat melakukan remote ke PC pengguna setelah Windows berjalan, itu akan benar-benar menguji kesabaran saya untuk memberikan instruksi kepada pengguna melalui telepon. “Anda perlu mengubah urutan boot, sehingga kami dapat menginstal ulang Windows dari DVD Anda.” "Saya ingin Anda menekan F8 pada waktu yang tepat, sehingga Anda dapat boot ke Windows Safe Mode." Kadang-kadang pelanggan saya tidak terlalu melek komputer dan itu adalah bagian yang menantang dari pekerjaan saya.

Tetapi karena saya sudah berpikir seperti a keamanan cyber profesional, saya juga prihatin dengan meningkatnya permukaan serangan cyber UEFI dibandingkan dengan sistem berbasis BIOS. Seorang penyerang maya benar-benar dapat mendatangkan malapetaka melalui remote control PC target sebelum mem-boot ke sistem operasi!

Saya benar-benar terkejut bahwa butuh sampai 2018 untuk menjadi UEFI malware rootkit itu bukan hanya pembuktian konsep.

LoJax adalah fork jahat dari perangkat lunak anti-pencurian LoJack yang tidak berbahaya dari Absolute Software. Versi awal LoJax terlihat selama bagian pertama 2017. Fitur persistensi BIOS dan UEFI-nya menarik. Peneliti menjelaskan bagaimana fitur ini diterapkan di Computrace, pendahulu untuk perangkat lunak LoJack yang sah:

“Computrace menarik perhatian dari komunitas keamanan terutama karena metode persistensi yang tidak biasa. Karena tujuan perangkat lunak ini adalah untuk melindungi perangkat keras sistem dari pencurian, penting untuk menolak instalasi ulang OS atau penggantian hard drive. Dengan demikian, ini diimplementasikan sebagai modul UEFI / BIOS, yang mampu bertahan dari kejadian seperti itu. Solusi ini telah diinstal sebelumnya di firmware dari sebagian besar laptop yang diproduksi oleh berbagai OEM, menunggu untuk diaktifkan oleh pengguna. Langkah aktivasi ini dapat dilakukan melalui opsi BIOS. ”

LoJax adalah senjata untuk serangan APT (advanced persistent ancaman). Karenanya, serangan LoJax sangat tepat sasaran. Ketika malware disebarkan dan menginfeksi mesin yang ditargetkan, penyerang cyber dapat mengontrol komputer di tingkat UEFI dan juga melihat data sensitif tentang konfigurasi perangkat keras, seperti PCI Express, Memory, dan ROM Opsi PCI.

Tahap pertama serangan LoJax adalah mendapatkan komponen driver DXE untuk dieksekusi di mesin Windows. Karena driver tidak ditandatangani, itu tidak akan berfungsi jika Secure Boot diaktifkan.

Jika pengandar menyebarkan seperti yang dimaksudkan oleh penyerang dunia maya, suatu peristiwa dibuat terkait dengan fungsi Beritahu. Peristiwa dipicu ketika boot manager UEFI memilih perangkat boot. Dari titik itu, muatan ditulis ke sistem file Windows NTFS. Kemudian LoJax bermanifestasi seperti penyakit, menginfeksi UEFI dan sistem operasi. Sambil mempertahankan kegigihan, para penyerang cyber memerintahkan dan mengendalikan server-server bahkan mendapatkan lebih banyak kendali atas mesin target daripada RAT biasa (Remote Access trojan) komputer yang terinfeksi.

Para peneliti hampir sepenuhnya yakin bahwa LoJax adalah karya Rusia Sednit APT grup, karena beberapa alasan berbeda. Rusia diduga karena infeksi LoJax ditemukan di komputer pemerintah di Balkan, Eropa Tengah, dan Eropa Timur. dan nama domain yang terkait dengan perintah LoJax dan server kontrol ditautkan ke Sednit secara khusus.

Karena LoJack adalah perangkat lunak yang sah, perangkat lunak antivirus sering membuat daftar putih karakteristiknya. Kode LoJax berbahaya sebagian besar sama dengan LoJack jinak, sehingga bisa menembus celah.

Menjaga firmware UEFI Anda terbaru dapat mencegah infeksi LoJax. Mengaktifkan Boot Aman mencegah driver LoJax yang tidak ditandatangani berfungsi. Plus, heuristik deteksi malware yang canggih dan sering ditambal (seperti Comodo) dapat mencegah malware seperti LoJax dari menginfeksi jaringan Anda di tempat pertama.

Sumber Terkait

Pemindai Malware Situs Web

MULAI PERCOBAAN GRATIS DAPATKAN SCORECARD KEAMANAN INSTAN ANDA GRATIS

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://blog.comodo.com/comodo-news/uh-oh-uefi-rootkit-malware-spotted-in-the-wild/