Was ist das UEFI-Rootkit „LoJax“, das von russischen Hackern entwickelt wurde?

Was ist das UEFI-Rootkit „LoJax“, das von russischen Hackern entwickelt wurde?

Ein Rootkit ist eine besonders böse Art von Malware. A “ regelmäßige ” Malware-Infektion wird geladen, wenn Sie das Betriebssystem öffnen. Es ist immer noch eine schlechte Situation, aber ein anständiges Antivirusprogramm sollte die Malware entfernen und Ihr System bereinigen.

Umgekehrt wird ein Rootkit auf Ihrer Systemfirmware installiert, und bei jedem Neustart des Systems können bösartige Nutzdaten installiert werden.

Sicherheitsforscher haben in der Wildnis eine neue Rootkit-Variante mit dem Namen LoJax entdeckt. Was unterscheidet dieses Rootkit von anderen? Nun, es kann moderne UEFI-basierte Systeme und nicht ältere BIOS-basierte Systeme infizieren. Und das ist ein Problem.

Das LoJax UEFI Rootkit

ESET Research veröffentlichte ein Forschungspapier, in dem LoJax beschrieben wird, ein neu entdecktes Rootkit (Was ist ein Rootkit?), das eine kommerzielle Software des Unternehmens erfolgreich wiederverwendet gleicher Name. (Obwohl das Forschungsteam die Malware „LoJax“ getauft hat, heißt die Originalsoftware „LoJack“.)

Durch die Erweiterung der Bedrohung kann LoJax eine vollständige Neuinstallation von Windows überleben und sogar den Austausch der Festplatte.

Die Malware überlebt das UEFI-Firmware-Startsystem. Andere Rootkits verstecken sich möglicherweise in Treibern oder Bootsektoren. Was ist ein Bootkit und ist Nemesis eine echte Bedrohung? Was ist ein Bootkit und ist Nemesis eine echte Bedrohung? Hacker finden weiterhin Möglichkeiten, Ihr System zu stören, beispielsweise das Bootkit. Schauen wir uns an, was ein Bootkit ist, wie die Nemesis-Variante funktioniert, und überlegen Sie, was Sie tun können, um klar zu bleiben. Lesen Sie mehr, je nach Codierung und Absicht des Angreifers. LoJax klemmt sich in die Systemfirmware ein und infiziert das System erneut, bevor das Betriebssystem überhaupt geladen wird.

Bisher ist die einzige bekannte Methode zum vollständigen Entfernen der LoJax-Malware das Firmware-Update über das verdächtige System. So aktualisieren Sie Ihr UEFI-BIOS in Windows So aktualisieren Sie Ihr UEFI-BIOS in Windows Die meisten PC-Benutzer gehen ohne aus Aktualisieren ihres BIOS. Wenn Sie jedoch für eine dauerhafte Stabilität sorgen, sollten Sie regelmäßig prüfen, ob ein Update verfügbar ist. Wir zeigen Ihnen, wie Sie Ihr UEFI-BIOS sicher aktualisieren können. Weiterlesen . Ein Firmware-Flash ist für die meisten Benutzer keine Erfahrung. Es ist zwar einfacher als in der Vergangenheit, aber es ist immer noch wichtig, dass das Flashen einer Firmware fehlerhaft ist und möglicherweise die betreffende Maschine blockiert.

Wie funktioniert das LoJax Rootkit?

LoJax verwendet eine neu verpackte Version der LoJack-Diebstahlschutzsoftware von Absolute Software. Das ursprüngliche Tool ist während des gesamten Systemlöschvorgangs oder des Austauschs einer Festplatte dauerhaft, damit der Lizenznehmer ein gestohlenes Gerät verfolgen kann. Die Gründe, warum das Werkzeug so tief in den Computer gegraben hat, sind recht legitim, und LoJack ist immer noch ein beliebtes Diebstahlschutzprodukt für diese exakten Eigenschaften.

Da in den USA 97 Prozent der gestohlenen Laptops nie wiederhergestellt werden, wünschen sich die verständlichen Benutzer zusätzlichen Schutz für eine derart teure Investition.

LoJax verwendet einen Kernel-Treiber, RwDrv.sys , um auf die BIOS / UEFI-Einstellungen zuzugreifen. Der Kernel-Treiber wird mit RWEverything geliefert, einem legitimen Werkzeug zum Lesen und Analysieren von Low-Level-Computereinstellungen (Bits, auf die Sie normalerweise keinen Zugriff haben). Es gab drei weitere Tools im LoJax-Rootkit-Infektionsprozess:

  • Das erste Tool gibt Informationen über die untergeordneten Systemeinstellungen (aus RWEverything kopiert) in eine Textdatei aus. Um den Systemschutz gegen schädliche Firmware-Updates zu umgehen, sind Kenntnisse des Systems erforderlich.
  • Das zweite Tool “ speichert ein Image der Systemfirmware in einer Datei, indem es den Inhalt des SPI-Flash-Speichers liest. ” Der SPI-Flash-Speicher enthält das UEFI / BIOS.
  • Ein drittes Tool fügt das schädliche Modul zum Firmware-Image hinzu und schreibt es in den SPI-Flash-Speicher zurück.

Wenn LoJax erkennt, dass der SPI-Flash-Speicher geschützt ist, nutzt er eine bekannte Sicherheitsanfälligkeit (CVE-2014-8273), um darauf zuzugreifen. Er fährt dann fort und schreibt das Rootkit in den Speicher.

Woher kam LoJax?

Das ESET Research-Team glaubt, dass LoJax die Arbeit der berüchtigten russischen Hacking-Gruppe Fancy Bear / Sednit / Strontium / APT28 ist. Die Hacking-Gruppe ist in den letzten Jahren für mehrere größere Angriffe verantwortlich.

LoJax verwendet dieselben Befehls- und Steuerungsserver wie SedUploader – eine andere Sednit-Backdoor-Malware. LoJax enthält auch Links und Spuren anderer Sednit-Malware, einschließlich XAgent (ein anderes Backdoor-Tool) und XTunnel (ein sicheres Netzwerk-Proxy-Tool).

Darüber hinaus stellte die ESET-Untersuchung fest, dass die Malware-Betreiber unterschiedliche Betriebssysteme verwendetenKomponenten des LoJax-Schadprogramms für die Bekämpfung einiger Regierungsorganisationen auf dem Balkan sowie in Mittel- und Osteuropa.

LoJax ist das erste UEFI-Rootkit

Die Nachrichten von LoJax sicherlich hat die Sicherheitswelt sich aufgerichtet und zur Kenntnis genommen. Es ist jedoch nicht das erste UEFI-Rootkit. Das Hacking-Team (eine bösartige Gruppe, nur für den Fall, dass Sie sich fragen würden), hat im Jahr 2015 ein UEFI / BIOS-Rootkit verwendet, um einen Remote-Control-Systemagenten auf Zielsystemen zu installieren.

Der Hauptunterschied zwischen dem UEFI-Rootkit von The Hacking Team und LoJax ist die Zustellungsmethode. Zu der Zeit glaubten Sicherheitsforscher, dass das Hacking Team physischen Zugriff auf ein System benötigte, um die Infektion auf Firmware-Ebene zu installieren. Wenn jemand direkten Zugriff auf Ihren Computer hat, kann er natürlich tun, was er will. Das UEFI-Rootkit ist jedoch besonders unangenehm.

Ist Ihr System durch LoJax gefährdet?

Moderne, auf UEFI basierende Systeme bieten gegenüber ihren älteren, auf BIOS basierenden Gegenstücken mehrere Vorteile.

Zum einen sind sie neuer. Neue Hardware ist nicht das A und O, aber sie macht viele Rechenaufgaben einfacher.

Zweitens verfügt die UEFI-Firmware auch über einige zusätzliche Sicherheitsfunktionen. Besonders hervorzuheben ist der sichere Start, bei dem nur Programme mit signierter digitaler Signatur ausgeführt werden können.

Wenn diese Option deaktiviert ist und Sie auf ein Rootkit stoßen, haben Sie eine schlechte Zeit. Secure Boot ist auch im aktuellen Zeitalter der Ransomware ein besonders nützliches Werkzeug. Schauen Sie sich das folgende Video von Secure Boot an, das sich mit der extrem gefährlichen NotPetya-Ransomware befasst:

NotPetya hätte alles verschlüsselt, wenn Secure Boot deaktiviert wurde.

LoJax ist eine ganz andere Art von Bestie. Im Gegensatz zu früheren Berichten kann auch Secure Boot LoJax nicht stoppen . Es ist äußerst wichtig, dass Sie Ihre UEFI-Firmware auf dem neuesten Stand halten. Es gibt einige spezielle Anti-Rootkit-Tools. Das vollständige Handbuch zur Entfernung von Malware Das vollständige Handbuch zur Entfernung von Malware Malware ist heutzutage überall zu finden. Die Beseitigung von Malware in Ihrem System ist ein langwieriger Prozess, der eine Anleitung erfordert. Wenn Sie glauben, dass Ihr Computer infiziert ist, ist dies die Anleitung, die Sie benötigen. Lesen Sie auch mehr, aber es ist unklar, ob sie sich vor LoJax schützen können.

Wie viele Bedrohungen mit dieser Fähigkeitsstufe ist Ihr Computer jedoch ein vorrangiges Ziel. Fortgeschrittene Malware konzentriert sich hauptsächlich auf übergeordnete Ziele. Darüber hinaus hat LoJax die Anzeichen für die Beteiligung nationaler Akteure an der Bedrohung der Bedrohung; eine weitere große Chance, dass LoJax sich kurzfristig nicht auf Sie auswirkt. Allerdings hat Malware eine Möglichkeit, in die Welt zu filtern. Wenn Cyberkriminelle die erfolgreiche Verwendung von LoJax feststellen, könnte dies bei regelmäßigen Malware-Angriffen allgemeiner werden.

Wie immer ist die Aktualisierung Ihres Systems eine der besten Möglichkeiten, Ihr System zu schützen. Ein Malwarebytes Premium-Abonnement ist auch eine große Hilfe. 5 Gründe für ein Upgrade auf Malwarebytes Premium: Ja, es lohnt sich 5 Gründe für ein Upgrade auf Malwarebytes Premium: Ja, es lohnt sich .jpg Es lohnt sich. Während die kostenlose Version von Malwarebytes fantastisch ist, bietet die Premium-Version eine Reihe nützlicher und lohnenswerter Funktionen Funktionen. Weitere Informationen

q , quelle

Zusammenhängende Posts:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.