Wat is de LoJax UEFI Rootkit ontwikkeld door Russische hackers?
Een rootkit is een bijzonder vervelende soort malware. EEN “regelmatig” malware-infectie wordt geladen wanneer u het besturingssysteem opent. Het is nog steeds een slechte situatie, maar een degelijke antivirus moet de malware verwijderen en uw systeem opschonen.
Omgekeerd, een rootkit wordt geïnstalleerd op uw systeemfirmware en zorgt voor de installatie van een kwaadwillende payload elke keer dat u uw systeem herstart.
Beveiligingsonderzoekers hebben een nieuwe rootkit-variant in het wild ontdekt, genaamd LoJax. Wat onderscheidt deze rootkit van anderen? Nou, het kan moderne UEFI-gebaseerde systemen infecteren, in plaats van oudere op BIOS gebaseerde systemen. En dat is een probleem.
De LoJax UEFI Rootkit
ESET Research publiceerde een onderzoekspaper met details over LoJax, een nieuw ontdekte rootkit (wat is een rootkit?) Waarmee met succes een commerciële software met dezelfde naam opnieuw wordt gebruikt. (Hoewel het onderzoeksteam de malware doopte “LoJax,” de echte software wordt genoemd “LoJack.”)
LoJax voegt toe aan de bedreiging en kan een volledige Windows-herinstallatie en zelfs vervanging van de harde schijf overleven.
De malware overleeft door het UEFI-opstartsysteem voor firmware aan te vallen. Andere rootkits kunnen zich verbergen in stuurprogramma's of opstartsectoren Wat is een Bootkit en is Nemesis een echte bedreiging? Wat is een Bootkit en is Nemesis een echte bedreiging? Hackers blijven manieren vinden om uw systeem te onderbreken, zoals de bootkit. Laten we eens kijken naar wat een bootkit is, hoe de Nemesis-variant werkt en overweeg wat u kunt doen om overzicht te houden. Meer lezen, afhankelijk van hun codering en de bedoeling van de aanvaller. LoJax haakt in de systeemfirmware en her-infecteert het systeem voordat het besturingssysteem zelfs wordt geladen.
De enige bekende methode om de LoJax-malware volledig te verwijderen, is het flashen van nieuwe firmware over het verdachte systeem. Hoe de UEFI BIOS in Windows te updaten Hoe u uw UEFI BIOS in Windows kunt bijwerken De meeste pc-gebruikers werken zonder hun BIOS te updaten. Als u echter voor voortdurende stabiliteit zorgt, moet u periodiek controleren of er een update beschikbaar is. We laten u zien hoe u uw UEFI BIOS veilig kunt updaten. Lees verder . Een firmwareflits is niet iets waar de meeste gebruikers ervaring mee hebben. Hoewel dit eenvoudiger is dan in het verleden, is er nog steeds een aanzienlijk signaal dat het flitsen van een firmware fout gaat, waardoor de betreffende machine mogelijk wordt gemetseld.
Hoe werkt de LoJax Rootkit?
LoJax maakt gebruik van een herverpakte versie van de LoJack antidiefstalsoftware van Absolute Software. Het originele hulpmiddel is bedoeld om persistent te zijn tijdens het wissen van een systeem of het vervangen van de harde schijf, zodat de licentienemer een gestolen apparaat kan volgen. De redenen waarom het gereedschap zo diep in de computer graaft zijn redelijk legitiem, en LoJack is nog steeds een populair anti-diefstalproduct voor deze exacte eigenschappen.
Aangezien in de VS 97 procent van de gestolen laptops nooit wordt teruggevonden, is het begrijpelijk dat gebruikers extra bescherming willen voor zo'n dure investering..
LoJax maakt gebruik van een kerneldriver, RwDrv.sys, voor toegang tot de BIOS / UEFI-instellingen. De kernel-driver is gebundeld met RWEverything, een legitiem hulpmiddel voor het lezen en analyseren van low-level computerinstellingen (bits waar je normaal geen toegang toe hebt). Er waren drie andere hulpmiddelen in het LoJax rootkit-infectieproces:
- Het eerste hulpmiddel dumpt informatie over de systeeminstellingen op laag niveau (gekopieerd van RWEverallthing) naar een tekstbestand. Het omzeilen van systeembescherming tegen schadelijke firmware-updates vereist kennis van het systeem.
- Het tweede hulpmiddel “slaat een afbeelding van de systeemfirmware op in een bestand door de inhoud van het SPI-flashgeheugen te lezen.” Het SPI-flash-geheugen host de UEFI / BIOS.
- Een derde hulpmiddel voegt de kwaadwillende module toe aan de firmwareafbeelding en schrijft deze vervolgens terug naar het SPI-flashgeheugen.
Als LoJax zich realiseert dat het SPI-flashgeheugen is beveiligd, gebruikt het een bekend beveiligingslek (CVE-2014-8273) om het te openen, gaat het verder en schrijft de rootkit naar het geheugen.
Waar kwam LoJax vandaan??
Het ESET Research-team gelooft dat LoJax het werk is van de beruchte Fancy Bear / Sednit / Strontium / APT28 Russische hackgroep. De hackgroep is verantwoordelijk voor een aantal grote aanvallen in de afgelopen jaren.
LoJax gebruikt dezelfde opdracht- en controleservers als SedUploader-nog een Sednit-backdoor-malware. LoJax heeft ook links en sporen van andere Sednit-malware, waaronder XAgent (een ander hulpprogramma voor backdoors) en XTunnel (een proxy-tool voor beveiligd netwerken).
Bovendien bleek uit het ESET-onderzoek dat de malware-exploitanten “gebruikte verschillende componenten van de LoJax-malware om zich te richten op een paar overheidsorganisaties in de Balkan en Centraal- en Oost-Europa.”
LoJax is niet de eerste UEFI-rootkit
Het nieuws van LoJax zorgde er zeker voor dat de veiligheidswereld rechtop ging zitten en kennis nam. Het is echter niet de eerste UEFI-rootkit. Het Hacking Team (een kwaadwillende groep, voor het geval je je dit afvroeg) gebruikte in 2015 een UEFI / BIOS-rootkit om een op afstand bestuurde systeemagent op doelsystemen te installeren.
Het belangrijkste verschil tussen de Hacking Team UEFI rootkit en LoJax is de methode van levering. Op dat moment dachten beveiligingsonderzoekers dat The Hacking Team fysieke toegang tot een systeem nodig had om de infectie op firmware-niveau te installeren. Als iemand rechtstreeks toegang heeft tot uw computer, kunnen ze natuurlijk doen wat ze willen. Toch is de UEFI-rootkit vooral smerig.
Is uw systeem in gevaar van LoJax?
Moderne UEFI-gebaseerde systemen hebben verschillende voordelen ten opzichte van hun oudere op BIOS gebaseerde tegenhangers.
Ten eerste zijn ze nieuwer. Nieuwe hardware is niet alles en nog wat, maar het maakt veel computertaken eenvoudiger.
Ten tweede heeft UEFI-firmware nog enkele extra beveiligingsfuncties. Vooral van belang is Secure Boot, waarmee alleen programma's met een ondertekende digitale handtekening kunnen worden uitgevoerd.
Als dit is uitgeschakeld en u een rootkit tegenkomt, krijgt u een slechte tijd. Secure Boot is ook een bijzonder handig hulpmiddel in het huidige tijdperk van ransomware. Bekijk de volgende video van Secure Boot over de extreem gevaarlijke NotPetya ransomware:
NotPetya zou alles op het doelsysteem hebben gecodeerd als Secure Boot was uitgeschakeld.
LoJax is een ander soort beest helemaal. In tegenstelling tot eerdere rapporten kan zelfs Secure Boot LoJax niet stoppen. Het up-to-date houden van uw UEFI-firmware is uiterst belangrijk. Er zijn enkele gespecialiseerde anti-rootkit-tools. De volledige gids voor het verwijderen van malware De volledige gids voor het verwijderen van malware Malware is overal tegenwoordig en het uitbannen van malware van uw systeem is een langdurig proces dat begeleiding vereist. Als u denkt dat uw computer is geïnfecteerd, is dit de gids die u nodig hebt. Meer lezen, maar het is onduidelijk of ze kunnen beschermen tegen LoJax.
Zoals veel bedreigingen met dit niveau, is uw computer echter een belangrijk doelwit. Geavanceerde malware richt zich voornamelijk op doelen op hoog niveau. Verder heeft LoJax de indicaties van betrokkenheid van nationale-staatsbedreigende actoren; nog een sterke kans dat LoJax je op korte termijn niet zal beïnvloeden. Dat gezegd hebbende, malware heeft een manier om de wereld in te filteren. Als cybercriminelen het succesvolle gebruik van LoJax herkennen, kan het gebruikelijker worden bij gewone malwareaanvallen.
Zoals altijd is het up-to-date houden van uw systeem een van de beste manieren om uw systeem te beschermen. Een Malwarebytes Premium-abonnement is ook een grote hulp. 5 redenen om te upgraden naar Malwarebytes Premium: Ja, het is het waard 5 redenen om te upgraden naar Malwarebytes Premium: Ja, het is de moeite waard Hoewel de gratis versie van Malwarebytes geweldig is, heeft de premium-versie een heleboel nuttige en waardevolle functies. Lees verder
Meer informatie over: Malware, Rootkit, UEFI.