Trojan Lojax Malware | Den första skadliga programvaran för UEFI upptäcktes

Läsningstid: 3 minuter

Jag kommer ihåg för en liten stund tillbaka, året var 2011. Det var det sista av mina konsumenters Windows-supportdagar innan jag specialiserade mig på cybersäkerhet. Jag skulle köpa Maximum PC-tidskrifter på tryck, eftersom regeln ”inga böcker eller tidskrifter vid ditt skrivbord” mycket specifikt utesluter allt som rör datorteknik. Så Psychology Today fick vänta tills jag var på bussresa hem.

Hur som helst, ett nummer det året hade en funktion på UEFI, en teknik som precis började bli vanligare i konsumentdatorer. Moderkort av bättre kvalitet för Intel Core i5 och i7 hade tillförlitligt UEFI då. Nu under 2018 är det ovanligt att ett nytt x86-64/amd64-moderkort har ett gammaldags BIOS, UEFI är nu standard. UEFI står för Unified Extensible Firmware Interface, en mer sofistikerad stil av firmware för att kontrollera att PC-hårdvarukomponenter fungerar innan du startar upp i ditt operativsystem. Jag älskade att titta på UEFI GUI, alla extra alternativ och till och med musstöd! Möjligheten för nätverksanslutning innan uppstart i ett operativsystem lät lovande. Det mesta av mitt arbete då var fjärrsupport, och det skulle vara mycket bekvämt för mig att kunna fixa maskinvarukonfiguration eller startorderproblem på egen hand. Eftersom jag bara kunde fjärransluta till en användares dator när Windows kördes, skulle det verkligen testa mitt tålamod att ge användarna instruktioner via telefon. "Du måste ändra startordningen så att vi kan installera om Windows från din DVD." "Jag behöver att du trycker på F8 vid rätt tidpunkt, så att du kan starta upp i Windows Säkert läge." Ibland var mina kunder inte särskilt datorkunniga och det var en utmanande del av mitt jobb.

Men för att jag redan tänkte som en Cybersäkerhet professionell, jag var också orolig över den ökade cyberattackytan hos UEFI jämfört med BIOS-baserade system. En cyberangripare kan verkligen utlösa förödelse via fjärrkontrollen av en måldator innan den startar i ett operativsystem!

Jag är faktiskt förvånad över att det tog fram till 2018 innan det fanns UEFI rootkit-skadlig kod det är inte bara ett proof-of-concept.

LoJax är en skadlig gaffel av Absolute Software's icke-skadliga LoJack-stöldskyddsprogramvara. Tidiga versioner av LoJax sågs under första delen av 2017. Dess BIOS- och UEFI-uthållighetsfunktion var fascinerande. Forskare förklarade hur funktionen implementerades i Computrace, föregångaren till legitim LoJack-programvara:

”Computrace väckte uppmärksamhet från säkerhetsgemenskapen främst på grund av dess ovanliga uthållighetsmetod. Eftersom denna programvaras avsikt är att skydda en systemhårdvara från stöld är det viktigt att den motstår OS-ominstallation eller hårddiskbyte. Således implementeras den som en UEFI / BIOS-modul som kan överleva sådana händelser. Denna lösning kommer förinstallerad i firmware för en stor del bärbara datorer tillverkade av olika OEM-företag och väntar på att aktiveras av användarna. Detta aktiveringssteg kan göras via ett BIOS-alternativ. ”

LoJax är ett vapen för APT-attacker (avancerat ihållande hot). Därför är LoJax-attacker mycket riktade. När skadlig programvara distribueras och infekterar den riktade maskinen kan cyberangripare styra datorn på UEFI-nivå och också se känslig data om hårdvarukonfigurationer, till exempel PCI Express, Memory och PCI Option ROM.

Det första steget i en LoJax-attack är att få DXE-drivrutinkomponenten att köras i en Windows-maskin. Eftersom drivrutinen är osignerad fungerar det inte om Secure Boot är aktiverat.

Om föraren distribuerar som cyberangriparen tänkt skapas en händelse som är associerad med Notify-funktionen. Händelsen utlöses när UEFI-starthanteraren väljer en startenhet. Från den tidpunkten skrivs nyttolast till Windows NTFS-filsystemet. Sedan manifesterar LoJax sig som en sjukdom och infekterar både UEFI och operativsystemet. Samtidigt som de bibehåller uthållighet får cyberattackers kommando- och kontrollservrar ännu mer kontroll över en målmaskin än en typisk RAT (fjärråtkomst trojan) infekterad dator.

Forskare är nästan helt säkra på att LoJax är ryssarnas arbete Sednit APT grupp av flera olika skäl. Ryssland misstänks för att LoJax-infektioner hittades i statliga datorer på Balkan, Central- och Östeuropa. och domännamnen associerade med LoJax kommando- och styrservrar är specifikt kopplade till Sednit.

Eftersom LoJack är legitim programvara, antivirusprogram vitlistar ofta dess egenskaper. Skadlig LoJax-kod är huvudsakligen densamma som godartad LoJack, så den glider genom sprickorna.

Att hålla din UEFI-firmware uppdaterad kan förhindra LoJax-infektioner. Aktivera säker start förhindrar att LoJax-osignerade drivrutin fungerar. Dessutom kan avancerad och ofta lappad heuristik för detektering av skadlig kod (som Comodo's) förhindra skadlig kod som LoJax från att infektera ditt nätverk i första hand.

Relaterad resurs

Webbplats Malware Scanner

PÅBÖRJA GRATIS FÖRSÖKSPERIOD FÅ DIN Omedelbara säkerhetskort GRATIS

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://blog.comodo.com/comodo-news/uh-oh-uefi-rootkit-malware-spotted-in-the-wild/