Qual è il rootkit UEFI LoJax sviluppato da hacker russi?
Un rootkit è un tipo di malware particolarmente cattivo. UN “regolare” l'infezione da malware si carica quando si accede al sistema operativo. È ancora una brutta situazione, ma un antivirus decente dovrebbe rimuovere il malware e ripulire il sistema.
Al contrario, un rootkit viene installato sul firmware del sistema e consente l'installazione di un payload dannoso ogni volta che si riavvia il sistema.
I ricercatori di sicurezza hanno individuato una nuova variante di rootkit in natura, denominata LoJax. Cosa distingue questo rootkit dagli altri? Bene, può infettare i moderni sistemi basati su UEFI, piuttosto che i vecchi sistemi basati su BIOS. E questo è un problema.
Il rootkit LoJax UEFI
ESET Research ha pubblicato un documento di ricerca che descrive LoJax, un rootkit appena scoperto (cos'è un rootkit?) Che rielabora con successo un software commerciale con lo stesso nome. (Sebbene il team di ricerca abbia battezzato il malware “LoJax,” il vero software è chiamato “LoJack.”)
In aggiunta alla minaccia, LoJax può sopravvivere a una completa reinstallazione di Windows e persino alla sostituzione del disco rigido.
Il malware sopravvive attaccando il sistema di avvio del firmware UEFI. Altri rootkit possono nascondersi nei driver o nei settori di avvio Che cos'è un Bootkit e Nemesis è una minaccia autentica? Che cos'è un bootkit e Nemesis è una minaccia autentica? Gli hacker continuano a trovare modi per interrompere il sistema, come ad esempio il bootkit. Diamo un'occhiata a ciò che è un bootkit, come funziona la variante Nemesis e consideriamo cosa puoi fare per essere chiaro. Leggi di più, a seconda della loro codifica e l'intenzione dell'attaccante. LoJax si aggancia al firmware del sistema e reinfetta il sistema prima che il sistema operativo carichi anche.
Al momento, l'unico metodo noto per rimuovere completamente il malware LoJax è il nuovo firmware che lampeggia sul sistema sospetto Come aggiornare il tuo UEFI BIOS in Windows Come aggiornare il tuo BIOS UEFI in Windows La maggior parte degli utenti PC non esegue l'aggiornamento del BIOS. Se si cura della stabilità continua, tuttavia, è necessario verificare periodicamente se è disponibile un aggiornamento. Vi mostriamo come aggiornare in modo sicuro il vostro BIOS UEFI. Leggi di più . Un flash firmware non è qualcosa con cui molti utenti hanno esperienza. Mentre è più facile che in passato, c'è ancora un significativo lampeggiare che un firmware andrà storto, potenzialmente danneggiando la macchina in questione.
Come funziona LoJax Rootkit?
LoJax utilizza una versione riconfezionata del software antifurto LoJack di Absolute Software. Lo strumento originale è pensato per essere persistente durante la cancellazione del disco rigido o del disco rigido in modo che il licenziatario possa rintracciare un dispositivo rubato. Le ragioni dello strumento che scava così in profondità nel computer sono abbastanza legittime, e LoJack è ancora un popolare prodotto antifurto per queste qualità esatte.
Dato che, negli Stati Uniti, il 97% dei laptop rubati non viene mai recuperato, è comprensibile che gli utenti desiderino una protezione extra per un investimento così costoso.
LoJax utilizza un driver del kernel, RwDrv.sys, per accedere alle impostazioni BIOS / UEFI. Il driver del kernel è in bundle con RWEverything, uno strumento legittimo utilizzato per leggere e analizzare le impostazioni del computer di basso livello (bit a cui normalmente non si ha accesso). C'erano altri tre strumenti nel processo di infezione del rootkit LoJax:
- Il primo strumento scarica informazioni sulle impostazioni di sistema di basso livello (copiate da RWEverything) in un file di testo. Bypassare la protezione del sistema dagli aggiornamenti dannosi del firmware richiede conoscenza del sistema.
- Il secondo strumento “salva un'immagine del firmware di sistema in un file leggendo il contenuto della memoria flash SPI.” La memoria flash SPI ospita UEFI / BIOS.
- Un terzo strumento aggiunge il modulo dannoso all'immagine del firmware, quindi lo scrive nuovamente nella memoria flash SPI.
Se LoJax si rende conto che la memoria flash SPI è protetta, sfrutta una vulnerabilità nota (CVE-2014-8273) per accedervi, quindi continua e scrive il rootkit in memoria.
Da dove proviene LoJax?
Il team di ricerca ESET crede che LoJax sia il lavoro del famigerato gruppo russo di hacker Fancy Bear / Sednit / Strontium / APT28. Il gruppo di hacker è responsabile di numerosi attacchi importanti negli ultimi anni.
LoJax utilizza gli stessi server di comando e controllo di SedUploader, un altro malware backdoor di Sednit. LoJax ha anche collegamenti e tracce di altri malware Sednit, tra cui XAgent (un altro strumento di backdoor) e XTunnel (uno strumento proxy di rete sicuro).
Inoltre, la ricerca ESET ha rilevato che gli operatori di malware “ha utilizzato diversi componenti del malware LoJax per rivolgersi a poche organizzazioni governative nei Balcani e nell'Europa centrale e orientale.”
LoJax non è il primo rootkit UEFI
La notizia di LoJax ha sicuramente fatto sì che il mondo della sicurezza si sedesse e prendesse nota. Tuttavia, non è il primo rootkit UEFI. L'Hacking Team (un gruppo malevolo, nel caso ve lo stavate chiedendo) stava usando un rootkit UEFI / BIOS nel 2015 per mantenere un agente di sistema di controllo remoto installato sui sistemi di destinazione.
La principale differenza tra il rootkit UEFI di Hacking Team e LoJax è il metodo di consegna. All'epoca, i ricercatori della sicurezza pensavano che The Hacking Team richiedesse l'accesso fisico a un sistema per installare l'infezione a livello di firmware. Ovviamente, se qualcuno ha accesso diretto al tuo computer, può fare quello che vuole. Tuttavia, il rootkit UEFI è particolarmente cattivo.
Il tuo sistema è a rischio da LoJax?
I moderni sistemi basati su UEFI presentano numerosi e distinti vantaggi rispetto ai loro omologhi basati su BIOS precedenti.
Per uno, sono più recenti. Il nuovo hardware non è il tutto e finisce, ma rende più facili le attività di elaborazione.
In secondo luogo, il firmware UEFI ha anche alcune funzionalità di sicurezza aggiuntive. Di particolare rilievo è Secure Boot, che consente l'esecuzione solo di programmi con firma digitale firmata.
Se questo è disattivato e incontri un rootkit, avrai un brutto momento. Secure Boot è uno strumento particolarmente utile anche nell'attuale era del ransomware. Guarda il seguente video di Secure Boot che si occupa del pericoloso ransomware NotPetya:
NotPetya avrebbe crittografato tutto sul sistema di destinazione se Secure Boot fosse stato disattivato.
LoJax è un tipo di bestia completamente diverso. Contrariamente ai precedenti rapporti, anche Secure Boot non può fermare LoJax. Mantenere aggiornato il firmware UEFI è estremamente importante. Esistono alcuni strumenti anti-rootkit specializzati La guida alla rimozione di malware completo La guida alla rimozione completa dei malware Il malware è ovunque in questi giorni e l'eliminazione di malware dal sistema è un processo lungo, che richiede una guida. Se pensi che il tuo computer sia infetto, questa è la guida che ti serve. Leggi di più, anche se non è chiaro se possono proteggersi contro LoJax.
Tuttavia, come molte minacce con questo livello di capacità, il tuo computer è un obiettivo primario. Il malware avanzato si concentra principalmente su obiettivi di alto livello. Inoltre, LoJax ha le indicazioni del coinvolgimento degli attori delle minacce a livello nazionale; un'altra forte possibilità LoJax non ti influenzerà nel breve periodo. Detto questo, il malware ha un modo di filtrare nel mondo. Se i criminali informatici individuano l'uso di successo di LoJax, potrebbe diventare più comune nei normali attacchi di malware.
Come sempre, mantenere aggiornato il tuo sistema è uno dei modi migliori per proteggere il tuo sistema. Anche un abbonamento Malwarebytes Premium è di grande aiuto. 5 motivi per passare a Malwarebytes Premium: Sì, ne vale la pena 5 motivi per passare a Malwarebytes Premium: Sì, ne vale la pena Mentre la versione gratuita di Malwarebytes è fantastica, la versione premium ha un sacco di utili e utili funzionalità. Leggi di più
Scopri di più su: malware, rootkit, UEFI.