Wat is de "LoJax" UEFI-rootkit ontwikkeld door Russische hackers?
Advertentie
Een rootkit is een bijzonder smerige vorm van malware. Een "reguliere" malware-infectie wordt geladen wanneer u het besturingssysteem binnengaat. Het is nog steeds een slechte situatie, maar een fatsoenlijke antivirus moet de malware verwijderen en uw systeem opschonen.
Omgekeerd wordt een rootkit geïnstalleerd op uw systeemfirmware en kunt u elke keer dat u uw systeem opnieuw opstart, een schadelijke payload installeren.
Beveiligingsonderzoekers hebben in het wild een nieuwe rootkit-variant gezien, genaamd LoJax. Wat onderscheidt deze rootkit van anderen? Welnu, het kan moderne UEFI-gebaseerde systemen infecteren in plaats van oudere BIOS-gebaseerde systemen. En dat is een probleem.
De LoJax UEFI Rootkit
ESET Research publiceerde een onderzoekspaper met details over LoJax, een nieuw ontdekte rootkit (wat is een rootkit?) Die met succes een commerciële software met dezelfde naam hergebruikt. (Hoewel het onderzoeksteam de malware 'LoJax' heeft gedoopt, heet de originele software 'LoJack'.)
Als toevoeging aan de dreiging kan LoJax een volledige Windows-herinstallatie en zelfs vervanging van de harde schijf overleven.
De malware overleeft door het UEFI firmware-opstartsysteem aan te vallen. Andere rootkits kunnen zich verbergen in stuurprogramma's of opstartsectoren Wat is een Bootkit en is Nemesis een echte bedreiging? Wat is een bootkit en is Nemesis een echte bedreiging? Hackers blijven manieren vinden om uw systeem te verstoren, zoals de bootkit. Laten we eens kijken wat een bootkit is, hoe de Nemesis-variant werkt en overwegen wat je kunt doen om duidelijk te blijven. Lees meer, afhankelijk van hun codering en de bedoeling van de aanvaller. LoJax wordt aangesloten op de systeemfirmware en infecteert het systeem opnieuw voordat het besturingssysteem wordt geladen.
De enige bekende methode om de LoJax-malware volledig te verwijderen, is nieuwe firmware over het verdachte systeem flashen. Uw UEFI BIOS in Windows bijwerken Uw UEFI BIOS in Windows bijwerken De meeste pc-gebruikers gaan zonder ooit hun BIOS bij te werken. Als u echter voor voortdurende stabiliteit zorgt, moet u regelmatig controleren of er een update beschikbaar is. We laten u zien hoe u uw UEFI BIOS veilig kunt bijwerken. Lees verder . Een firmware-flash is niet iets waar de meeste gebruikers ervaring mee hebben. Hoewel eenvoudiger dan in het verleden, is er nog steeds een belangrijk probleem dat het flashen van een firmware fout gaat, waardoor de betreffende machine mogelijk wordt dichtgemetseld.
Hoe werkt de LoJax rootkit?
LoJax maakt gebruik van een herverpakte versie van de anti-diefstal software LoJack van Absolute Software. De originele tool is bedoeld om permanent te zijn tijdens het wissen van een systeem of vervanging van de harde schijf, zodat de licentienemer een gestolen apparaat kan volgen. De redenen waarom de tool zo diep in de computer is gegraven, zijn redelijk legitiem en LoJack is nog steeds een populair antidiefstalproduct voor deze exacte eigenschappen.
Aangezien 97 procent van de gestolen laptops in de VS nooit wordt hersteld, is het begrijpelijk dat gebruikers extra bescherming willen voor zo'n dure investering.
LoJax gebruikt een kerneldriver, RwDrv.sys, om toegang te krijgen tot de BIOS / UEFI-instellingen. De kerneldriver is gebundeld met RWEverything, een legitiem hulpmiddel dat wordt gebruikt om computerinstellingen op laag niveau te lezen en te analyseren (bits waartoe u normaal geen toegang hebt). Er waren drie andere tools in het LoJax rootkit-infectieproces:
- De eerste tool dumpt informatie over de systeeminstellingen op laag niveau (gekopieerd van RWEverything) naar een tekstbestand. Het omzeilen van systeembescherming tegen kwaadaardige firmware-updates vereist kennis van het systeem.
- De tweede tool "slaat een afbeelding van de systeemfirmware op in een bestand door de inhoud van het SPI-flashgeheugen te lezen." Het SPI-flashgeheugen host de UEFI / BIOS.
- Een derde tool voegt de kwaadaardige module toe aan de firmware-image en schrijft deze vervolgens terug naar het SPI-flashgeheugen.
Als LoJax zich realiseert dat het SPI-flashgeheugen is beveiligd, maakt het gebruik van een bekende kwetsbaarheid (CVE-2014-8273) voor toegang tot het, gaat het verder en schrijft de rootkit naar het geheugen.
Waar komt LoJax vandaan?
Het ESET Research-team gelooft dat LoJax het werk is van de beruchte Fancy Bear / Sednit / Strontium / APT28 Russische hackgroep. De hackgroep is verantwoordelijk voor verschillende grote aanvallen in de afgelopen jaren.
LoJax gebruikt dezelfde opdracht- en besturingsservers als SedUploader - een andere Sednit-achterdeur-malware. LoJax heeft ook koppelingen en sporen van andere Sednit-malware, waaronder XAgent (een andere backdoor-tool) en XTunnel (een beveiligde netwerkproxy-tool).
Bovendien bleek uit het ESET-onderzoek dat de malware-exploitanten "verschillende componenten van de LoJax-malware gebruikten om zich te richten op enkele overheidsorganisaties in de Balkan en in Midden- en Oost-Europa."
LoJax is niet de eerste UEFI-rootkit
Het nieuws van LoJax zorgde er zeker voor dat de beveiligingswereld rechtop ging zitten en kennis nam. Het is echter niet de eerste UEFI-rootkit. Het Hacking Team (een kwaadwillende groep, voor het geval je het je afvroeg) gebruikte in 2015 een UEFI / BIOS-rootkit om een systeemagent voor afstandsbediening op doelsystemen geïnstalleerd te houden.
Het grote verschil tussen het UEFI-rootkit van The Hacking Team en LoJax is de leveringsmethode. Destijds dachten beveiligingsonderzoekers dat het Hacking Team fysieke toegang tot een systeem nodig had om de infectie op firmware-niveau te installeren. Natuurlijk, als iemand directe toegang tot uw computer heeft, kunnen ze doen wat ze willen. Toch is de UEFI-rootkit vooral smerig.
Loopt uw systeem gevaar door LoJax?
Moderne op UEFI gebaseerde systemen hebben verschillende duidelijke voordelen ten opzichte van hun oudere BIOS-gebaseerde tegenhangers.
Ten eerste zijn ze nieuwer. Nieuwe hardware is niet alles, maar maakt veel computertaken eenvoudiger.
Ten tweede heeft UEFI-firmware ook een paar extra beveiligingsfuncties. Bijzonder belangrijk is Secure Boot, waarmee alleen programma's met een ondertekende digitale handtekening kunnen worden uitgevoerd.
Als dit is uitgeschakeld en je een rootkit tegenkomt, zul je een slechte tijd hebben. Secure Boot is ook een bijzonder handig hulpmiddel in het huidige tijdperk van ransomware. Bekijk de volgende video van Secure Boot over de extreem gevaarlijke NotPetya-ransomware:
NotPetya zou alles op het doelsysteem gecodeerd hebben als Secure Boot was uitgeschakeld.
LoJax is een heel ander beest. In tegenstelling tot eerdere rapporten kan zelfs Secure Boot LoJax niet stoppen . Het is uiterst belangrijk om uw UEFI-firmware up-to-date te houden. Er zijn enkele gespecialiseerde anti-rootkit-tools. De complete gids voor het verwijderen van malware. De complete gids voor het verwijderen van malware. Malware is tegenwoordig overal aanwezig en het verwijderen van malware van uw systeem is een langdurig proces dat begeleiding vereist. Als u denkt dat uw computer is geïnfecteerd, is dit de gids die u nodig hebt. Lees meer ook, maar het is onduidelijk of ze kunnen beschermen tegen LoJax.
Net als vele bedreigingen met dit niveau van capaciteit, is uw computer echter een belangrijk doelwit. Geavanceerde malware richt zich voornamelijk op doelen op hoog niveau. Bovendien heeft LoJax aanwijzingen dat de actoren van de nationale bedreiging betrokken zijn; nog een sterke kans dat LoJax op korte termijn geen invloed op u heeft. Dat gezegd hebbende, malware heeft een manier om de wereld uit te filteren. Als cybercriminelen het succesvolle gebruik van LoJax zien, kan het vaker voorkomen bij reguliere malwareaanvallen.
Zoals altijd is het up-to-date houden van uw systeem een van de beste manieren om uw systeem te beschermen. Een Malwarebytes Premium-abonnement is ook een grote hulp. 5 redenen om te upgraden naar Malwarebytes Premium: Ja, het is het waard 5 redenen om te upgraden naar Malwarebytes Premium: Ja, het is het waard Hoewel de gratis versie van Malwarebytes geweldig is, heeft de premiumversie een aantal handige en waardevolle functies. Lees verder
Ontdek meer over: Malware, Rootkit, UEFI.
