Cos'è il rootkit UEFI “LoJax” sviluppato dagli hacker russi?
Annuncio pubblicitario
Un rootkit è un tipo di malware particolarmente brutto. Un'infezione da malware "regolare" viene caricata quando si accede al sistema operativo. È ancora una brutta situazione, ma un antivirus decente dovrebbe rimuovere il malware e ripulire il sistema.
Al contrario, un rootkit si installa nel firmware del sistema e consente l'installazione di un payload dannoso ogni volta che si riavvia il sistema.
I ricercatori della sicurezza hanno individuato una nuova variante di rootkit in natura, chiamata LoJax. Cosa distingue questo rootkit dagli altri? Bene, può infettare i moderni sistemi basati su UEFI, piuttosto che i vecchi sistemi basati su BIOS. E questo è un problema.
Il Rootkit UEFI LoJax
ESET Research ha pubblicato un documento di ricerca che descrive in dettaglio LoJax, un rootkit appena scoperto (che cos'è un rootkit?) Che riutilizza con successo un software commerciale con lo stesso nome. (Sebbene il team di ricerca abbia battezzato il malware "LoJax", il software originale si chiama "LoJack".)
Oltre alla minaccia, LoJax può sopravvivere a una reinstallazione completa di Windows e persino alla sostituzione del disco rigido.
Il malware sopravvive attaccando il sistema di avvio del firmware UEFI. Altri rootkit potrebbero essere nascosti nei driver o nei settori di avvio Cos'è un Bootkit e Nemesis è una vera minaccia? Che cos'è un Bootkit e Nemesis è una vera minaccia? Gli hacker continuano a trovare modi per interrompere il sistema, come il bootkit. Diamo un'occhiata a cos'è un bootkit, come funziona la variante di Nemesis e consideriamo cosa puoi fare per essere chiaro. Maggiori informazioni, a seconda della loro codifica e dell'intento dell'attaccante. LoJax si aggancia al firmware del sistema e reinfetta il sistema prima che il sistema operativo venga caricato.
Finora, l'unico metodo noto per rimuovere completamente il malware LoJax è il flashing del nuovo firmware sul sistema sospetto. Come aggiornare il BIOS UEFI in Windows Come aggiornare il BIOS UEFI in Windows La maggior parte degli utenti di PC passa senza mai aggiornare il proprio BIOS. Se ti interessa la stabilità continua, tuttavia, dovresti controllare periodicamente se è disponibile un aggiornamento. Ti mostriamo come aggiornare in sicurezza il tuo BIOS UEFI. Leggi di più . Un flash del firmware non è qualcosa con cui molti utenti hanno esperienza. Sebbene sia più semplice che in passato, è ancora significativo che il flashing di un firmware vada storto, potenzialmente mettendo a rischio la macchina in questione.
Come funziona LoJax Rootkit?
LoJax utilizza una versione riconfezionata del software antifurto LoJack di Absolute Software. Lo strumento originale dovrebbe essere persistente durante la cancellazione del sistema o la sostituzione del disco rigido in modo che il licenziatario possa rintracciare un dispositivo rubato. Le ragioni per cui gli strumenti che scavano così profondamente nel computer sono abbastanza legittimi e LoJack è ancora un popolare prodotto antifurto per queste qualità esatte.
Dato che, negli Stati Uniti, il 97% dei laptop rubati non viene mai recuperato, è comprensibile che gli utenti desiderino una protezione aggiuntiva per un investimento così costoso.
LoJax utilizza un driver del kernel, RwDrv.sys, per accedere alle impostazioni BIOS / UEFI. Il driver del kernel è in bundle con RWEverything, uno strumento legittimo utilizzato per leggere e analizzare le impostazioni del computer di basso livello (bit a cui normalmente non si ha accesso). C'erano altri tre strumenti nel processo di infezione del rootkit LoJax:
- Il primo strumento scarica le informazioni sulle impostazioni di sistema di basso livello (copiate da RWEverything) in un file di testo. Bypassare la protezione del sistema contro gli aggiornamenti del firmware dannosi richiede la conoscenza del sistema.
- Il secondo strumento "salva un'immagine del firmware del sistema in un file leggendo il contenuto della memoria flash SPI". La memoria flash SPI ospita UEFI / BIOS.
- Un terzo strumento aggiunge il modulo dannoso all'immagine del firmware, quindi lo riscrive nella memoria flash SPI.
Se LoJax si rende conto che la memoria flash SPI è protetta, sfrutta una vulnerabilità nota (CVE-2014-8273) per accedervi, quindi continua e scrive il rootkit in memoria.
Da dove viene LoJax?
Il team di ricerca ESET ritiene che LoJax sia opera del famigerato gruppo di hacking russo Fancy Bear / Sednit / Strontium / APT28. Il gruppo di hacking è responsabile di numerosi attacchi importanti negli ultimi anni.
LoJax utilizza gli stessi server di comando e controllo di SedUploader, un altro malware backdoor Sednit. LoJax ha anche collegamenti e tracce di altri malware Sednit, tra cui XAgent (un altro strumento backdoor) e XTunnel (uno strumento proxy di rete sicuro).
Inoltre, la ricerca ESET ha scoperto che gli operatori di malware "hanno utilizzato diversi componenti del malware LoJax per colpire alcune organizzazioni governative nei Balcani e l'Europa centrale e orientale".
LoJax non è il primo rootkit UEFI
Le notizie di LoJax hanno sicuramente indotto il mondo della sicurezza a sedersi e prendere nota. Tuttavia, non è il primo rootkit UEFI. L'Hacking Team (un gruppo maligno, nel caso ve lo stiate chiedendo) stava usando un rootkit UEFI / BIOS nel 2015 per mantenere un agente di sistema di controllo remoto installato sui sistemi di destinazione.
La principale differenza tra il rootkit UEFI di The Hacking Team e LoJax è il metodo di consegna. A quel tempo, i ricercatori della sicurezza pensavano che The Hacking Team richiedesse l'accesso fisico a un sistema per installare l'infezione a livello di firmware. Naturalmente, se qualcuno ha accesso diretto al tuo computer, può fare quello che vuole. Tuttavia, il rootkit UEFI è particolarmente cattivo.
Il tuo sistema è a rischio di LoJax?
I moderni sistemi basati su UEFI presentano numerosi vantaggi distinti rispetto alle loro precedenti controparti basate su BIOS.
Per uno, sono più recenti. Il nuovo hardware non è tutto e finisce tutto, ma semplifica molte attività di elaborazione.
In secondo luogo, anche il firmware UEFI ha alcune funzionalità di sicurezza aggiuntive. Particolarmente degno di nota è Secure Boot, che consente l'esecuzione solo di programmi con firma digitale firmata.
Se questo viene disattivato e si incontra un rootkit, si passerà un brutto momento. Secure Boot è uno strumento particolarmente utile anche nell'era attuale del ransomware. Guarda il seguente video di Secure Boot relativo al ransomware NotPetya estremamente pericoloso:
NotPetya avrebbe crittografato tutto sul sistema di destinazione se l'opzione Avvio protetto fosse stata disattivata.
LoJax è un diverso tipo di bestia del tutto. Contrariamente ai rapporti precedenti, anche Secure Boot non può arrestare LoJax . Mantenere aggiornato il firmware UEFI è estremamente importante. Esistono alcuni strumenti anti-rootkit specializzati La Guida completa alla rimozione di malware La Guida completa alla rimozione di malware Il malware è ovunque in questi giorni e l'eradicazione del malware dal sistema è un processo lungo, che richiede una guida. Se ritieni che il tuo computer sia infetto, questa è la guida di cui hai bisogno. Leggi di più, ma non è chiaro se possono proteggere da LoJax.
Tuttavia, come molte minacce con questo livello di funzionalità, il tuo computer è un obiettivo primario. Il malware avanzato si concentra principalmente su obiettivi di alto livello. Inoltre, LoJax ha le indicazioni del coinvolgimento dell'attore di minaccia dello stato-nazione; un'altra grande possibilità che LoJax non ti influenzerà a breve termine. Detto questo, il malware ha un modo per filtrare nel mondo. Se i criminali informatici individuano l'uso riuscito di LoJax, potrebbe diventare più comune nei normali attacchi di malware.
Come sempre, mantenere aggiornato il sistema è uno dei modi migliori per proteggere il sistema. Anche un abbonamento a Malwarebytes Premium è di grande aiuto. 5 motivi per passare a Malwarebytes Premium: Sì, ne vale la pena 5 motivi per passare a Malwarebytes Premium: Sì, ne vale la pena Mentre la versione gratuita di Malwarebytes è fantastica, la versione premium ha un sacco di funzioni utili e utili. Leggi di più
Scopri di più su: Malware, Rootkit, UEFI.
