O que é o UEFI Rootkit "LoJax" desenvolvido por hackers russos?

Propaganda

Um rootkit é um tipo de malware particularmente desagradável. Uma infecção por malware "regular" é carregada quando você entra no sistema operacional. Ainda é uma situação ruim, mas um antivírus decente deve remover o malware e limpar seu sistema.

Por outro lado, um rootkit é instalado no firmware do sistema e permite a instalação de uma carga maliciosa toda vez que você reinicia o sistema.

Pesquisadores de segurança descobriram uma nova variante de rootkit, chamada LoJax. O que diferencia este rootkit dos outros? Bem, ele pode infectar sistemas modernos baseados em UEFI, em vez de sistemas mais antigos baseados em BIOS. E isso é um problema.

O LoJax UEFI Rootkit

Pesquisa ESET Publicados um trabalho de pesquisa que detalha LoJax, um rootkit recém-descoberto (o que é um rootkit?) que redireciona com êxito um software comercial com o mesmo nome. (Embora a equipe de pesquisa tenha batizado o malware "LoJax", o software original é chamado "LoJack".)

Além da ameaça, o LoJax pode sobreviver a uma reinstalação completa do Windows e até a substituição do disco rígido.

O malware sobrevive atacando o sistema de inicialização do firmware UEFI. De outros rootkits podem se esconder em drivers ou setores de inicialização O que é um Bootkit e o Nemesis é uma ameaça genuína?Os hackers continuam encontrando maneiras de interromper seu sistema, como o kit de inicialização. Vejamos o que é um kit de inicialização, como a variante Nemesis funciona e considere o que você pode fazer para ficar claro. consulte Mais informação , dependendo da codificação e da intenção do invasor. O LoJax se conecta ao firmware do sistema e reinfecta o sistema antes que o sistema operacional seja carregado.

Até agora, o único método conhecido para remover completamente o malware LoJax é piscando novo firmware sobre o sistema suspeito Como atualizar o BIOS UEFI no WindowsA maioria dos usuários de PC fica sem atualizar o BIOS. Se você se preocupa com a estabilidade contínua, verifique periodicamente se há uma atualização disponível. Mostramos como atualizar com segurança o seu UEFI BIOS. consulte Mais informação . Um flash de firmware não é algo com o qual a maioria dos usuários tenha experiência. Embora seja mais fácil do que no passado, ainda é significativo que a atualização do firmware dê errado, potencialmente prejudicando a máquina em questão.

Como o LoJax Rootkit funciona?

LoJax usa uma versão reembalada do software anti-roubo LoJack da Absolute Software. A ferramenta original deve ser persistente durante a limpeza do sistema ou a substituição do disco rígido, para que o licenciado possa rastrear um dispositivo roubado. As razões para a ferramenta escavar tão profundamente no computador são bastante legítimas e o LoJack ainda é um produto anti-roubo popular por essas qualidades exatas.

Dado que, nos EUA, 97% dos laptops roubados são nunca se recuperou, é compreensível que os usuários desejem proteção extra para um investimento tão caro.

LoJax usa um driver de kernel, RwDrv.sys, para acessar as configurações de BIOS / UEFI. O driver do kernel é fornecido com o RWEverything, uma ferramenta legítima usada para ler e analisar configurações de computador de baixo nível (bits aos quais você normalmente não tem acesso). Havia outras três ferramentas no processo de infecção do rootkit LoJax:

• A primeira ferramenta despeja informações sobre as configurações de sistema de baixo nível (copiadas do RWEverything) para um arquivo de texto. Ignorar a proteção do sistema contra atualizações maliciosas de firmware requer conhecimento do sistema.
• A segunda ferramenta "salva uma imagem do firmware do sistema em um arquivo, lendo o conteúdo da memória flash SPI". A memória flash SPI hospeda o UEFI / BIOS.
• Uma terceira ferramenta adiciona o módulo malicioso à imagem do firmware e depois o grava de volta na memória flash SPI.

Se LoJax perceber que a memória flash SPI está protegida, ela explora uma vulnerabilidade conhecida (CVE-2014-8273) para acessá-lo, continua e grava o rootkit na memória.

De onde veio LoJax?

A equipe de pesquisa da ESET acredita que LoJax é o trabalho do infame grupo russo de hackers Fancy Bear / Sednit / Strontium / APT28 russo. O grupo de hackers é responsável por vários ataques importantes nos últimos anos.

O LoJax usa os mesmos servidores de comando e controle que o SedUploader - outro malware de backdoor Sednit. O LoJax também possui links e rastreamentos de outros malwares do Sednit, incluindo o XAgent (outra ferramenta de backdoor) e o XTunnel (uma ferramenta de proxy de rede segura).

Além disso, a pesquisa da ESET descobriu que os operadores de malware “usavam diferentes componentes do Malware LoJax para atingir algumas organizações governamentais nos Balcãs, bem como as regiões Central e Oriental Europa."

LoJax não é o primeiro UEFI Rootkit

As notícias da LoJax certamente fizeram o mundo da segurança se sentar e tomar nota. No entanto, não é o primeiro UEFI rootkit. A Equipe de Hacking (um grupo malicioso, apenas no caso de você estar se perguntando) estava usando um rootkit UEFI / BIOS em 2015 para manter um agente do sistema de controle remoto instalado nos sistemas de destino.

A principal diferença entre o rootkit UEFI da The Hacking Team e o LoJax é o método de entrega. Na época, os pesquisadores de segurança pensavam que a Equipe de hackers exigia acesso físico a um sistema para instalar a infecção no nível do firmware. Obviamente, se alguém tiver acesso direto ao seu computador, poderá fazer o que quiser. Ainda assim, o UEFI rootkit é especialmente desagradável.

Seu sistema está em risco com a LoJax?

Os sistemas modernos baseados em UEFI têm várias vantagens distintas em relação aos sistemas antigos baseados em BIOS.

Por um lado, eles são mais novos. O novo hardware não é tudo e acaba com tudo, mas facilita muitas tarefas de computação.

Em segundo lugar, o firmware UEFI também possui alguns recursos de segurança adicionais. Particularmente digno de nota é a Inicialização segura, que permite apenas a execução de programas com assinatura digital assinada.

Se isso estiver desativado e você encontrar um rootkit, terá um mau momento. O Secure Boot é uma ferramenta particularmente útil na era atual do ransomware também. Confira o vídeo a seguir do Secure Boot, que trata do extremamente perigoso NotPetya ransomware:

O NotPetya teria criptografado tudo no sistema de destino se o Secure Boot tivesse sido desativado.

LoJax é um tipo diferente de animal completamente. Ao contrário dos relatórios anteriores, mesmo o Secure Boot não pode parar o LoJax. Manter o firmware UEFI atualizado é extremamente importante. tem algumas ferramentas especializadas anti-rootkit O guia completo de remoção de malwareAtualmente, existe malware em todos os lugares e a erradicação de malware do sistema é um processo demorado, exigindo orientação. Se você acha que seu computador está infectado, este é o guia que você precisa. consulte Mais informação também, mas não está claro se eles podem se proteger contra o LoJax.

No entanto, como muitas ameaças com esse nível de capacidade, seu computador é o principal alvo. O malware avançado concentra-se predominantemente em destinos de alto nível. Além disso, LoJax tem as indicações de envolvimento de ator de ameaça de Estado-nação; outra forte chance de LoJax não afetá-lo a curto prazo. Dito isto, o malware tem uma maneira de filtrar o mundo. Se os cibercriminosos identificarem o uso bem-sucedido do LoJax, ele poderá se tornar mais comum em ataques de malware regulares.

Como sempre, manter seu sistema atualizado é uma das melhores maneiras de proteger seu sistema. Uma assinatura do Malwarebytes Premium também é uma grande ajuda. 5 razões para atualizar para o Malwarebytes Premium: Sim, vale a penaEmbora a versão gratuita do Malwarebytes seja incrível, a versão premium possui vários recursos úteis e que valem a pena. consulte Mais informação