Was ist das von russischen Hackern entwickelte UEFI-Rootkit "LoJax"?

Werbung

Ein Rootkit ist eine besonders böse Art von Malware. Eine "normale" Malware-Infektion wird geladen, wenn Sie das Betriebssystem aufrufen. Es ist immer noch eine schlechte Situation, aber ein anständiges Antivirenprogramm sollte die Malware entfernen und Ihr System bereinigen.

Umgekehrt wird ein Rootkit auf Ihrer Systemfirmware installiert und ermöglicht die Installation einer schädlichen Nutzlast bei jedem Neustart Ihres Systems.

Sicherheitsforscher haben eine neue Rootkit-Variante in freier Wildbahn namens LoJax entdeckt. Was unterscheidet dieses Rootkit von anderen? Nun, es kann eher moderne UEFI-basierte Systeme als ältere BIOS-basierte Systeme infizieren. Und das ist ein Problem.

Das LoJax UEFI Rootkit

ESET-Forschung veröffentlicht ein Forschungsbericht über LoJax, ein neu entdecktes Rootkit (Was ist ein Rootkit?), die eine gleichnamige kommerzielle Software erfolgreich wiederverwenden. (Obwohl das Forschungsteam die Malware "LoJax" getauft hat, heißt die echte Software "LoJack".)

Zusätzlich zur Bedrohung kann LoJax eine vollständige Windows-Neuinstallation und sogar den Austausch der Festplatte überstehen.

Die Malware überlebt, indem sie das Boot-System der UEFI-Firmware angreift. Andere Rootkits können sich in Treibern oder Bootsektoren verstecken Was ist ein Bootkit und ist Nemesis eine echte Bedrohung?Hacker finden weiterhin Möglichkeiten, Ihr System zu stören, z. B. das Bootkit. Schauen wir uns an, was ein Bootkit ist, wie die Nemesis-Variante funktioniert, und überlegen Sie, was Sie tun können, um klar zu bleiben. Weiterlesen , abhängig von ihrer Kodierung und der Absicht des Angreifers. LoJax wird in die Systemfirmware eingebunden und infiziert das System erneut, bevor das Betriebssystem überhaupt geladen wird.

Bisher ist die einzige bekannte Methode, um die LoJax-Malware vollständig zu entfernen, die Flashen neuer Firmware über das verdächtige System So aktualisieren Sie Ihr UEFI-BIOS unter WindowsDie meisten PC-Benutzer müssen ihr BIOS nie aktualisieren. Wenn Sie jedoch auf kontinuierliche Stabilität achten, sollten Sie regelmäßig überprüfen, ob ein Update verfügbar ist. Wir zeigen Ihnen, wie Sie Ihr UEFI-BIOS sicher aktualisieren können. Weiterlesen . Ein Firmware-Flash ist für die meisten Benutzer keine Erfahrung. Obwohl dies einfacher als in der Vergangenheit ist, gibt es immer noch einen signifikanten Grund dafür, dass das Flashen einer Firmware schief geht und möglicherweise die betreffende Maschine blockiert.

Wie funktioniert das LoJax Rootkit?

LoJax verwendet eine neu gepackte Version der LoJack-Diebstahlsicherungssoftware von Absolute Software. Das ursprüngliche Tool soll während eines Systemlöschvorgangs oder eines Festplattenwechsels dauerhaft sein, damit der Lizenznehmer ein gestohlenes Gerät nachverfolgen kann. Die Gründe dafür, dass sich das Werkzeug so tief in den Computer eingegraben hat, sind ziemlich legitim, und LoJack ist immer noch ein beliebtes Diebstahlschutzprodukt für genau diese Eigenschaften.

Angesichts dessen, dass in den USA 97 Prozent der gestohlenen Laptops sind nie erholtEs ist verständlich, dass Benutzer zusätzlichen Schutz für eine so teure Investition wünschen.

LoJax verwendet einen Kerneltreiber. RwDrv.sys, um auf die BIOS / UEFI-Einstellungen zuzugreifen. Der Kerneltreiber wird mit RWEverything gebündelt, einem legitimen Tool zum Lesen und Analysieren von Computereinstellungen auf niedriger Ebene (Bits, auf die Sie normalerweise keinen Zugriff haben). Es gab drei weitere Tools im LoJax-Rootkit-Infektionsprozess:

• Das erste Tool speichert Informationen zu den Systemeinstellungen auf niedriger Ebene (von RWEverything kopiert) in eine Textdatei. Um den Systemschutz vor böswilligen Firmware-Updates zu umgehen, sind Systemkenntnisse erforderlich.
• Das zweite Tool „speichert ein Image der Systemfirmware in einer Datei, indem der Inhalt des SPI-Flash-Speichers gelesen wird.“ Der SPI-Flash-Speicher hostet das UEFI / BIOS.
• Ein drittes Tool fügt das schädliche Modul dem Firmware-Image hinzu und schreibt es dann zurück in den SPI-Flash-Speicher.

Wenn LoJax erkennt, dass der SPI-Flash-Speicher geschützt ist, nutzt es eine bekannte Sicherheitsanfälligkeit aus (CVE-2014-8273), um darauf zuzugreifen, fährt dann fort und schreibt das Rootkit in den Speicher.

Woher kam LoJax?

Das ESET-Forschungsteam glaubt, dass LoJax die Arbeit der berüchtigten russischen Hacking-Gruppe Fancy Bear / Sednit / Strontium / APT28 ist. Die Hacking-Gruppe ist in den letzten Jahren für mehrere größere Angriffe verantwortlich.

LoJax verwendet dieselben Befehls- und Steuerungsserver wie SedUploader - eine weitere Sednit-Backdoor-Malware. LoJax verfügt auch über Links und Spuren anderer Sednit-Malware, einschließlich XAgent (ein weiteres Backdoor-Tool) und XTunnel (ein sicheres Netzwerk-Proxy-Tool).

Darüber hinaus ergab die ESET-Studie, dass die Malware-Betreiber „verschiedene Komponenten des LoJax-Malware für einige Regierungsorganisationen auf dem Balkan sowie in Zentral- und Ostasien Europa."

LoJax ist nicht das erste UEFI-Rootkit

Die Nachricht von LoJax veranlasste die Sicherheitswelt sicherlich, sich aufzurichten und zur Kenntnis zu nehmen. Es ist jedoch nicht das erste UEFI-Rootkit. Das Hacking-Team (eine bösartige Gruppe, nur für den Fall, dass Sie sich fragen) verwendete ein UEFI / BIOS-Rootkit im Jahr 2015, um einen Agenten für Fernsteuerungssysteme auf Zielsystemen installiert zu halten.

Der Hauptunterschied zwischen dem UEFI-Rootkit von The Hacking Team und LoJax ist die Art der Lieferung. Zu dieser Zeit waren Sicherheitsforscher der Ansicht, dass das Hacking-Team physischen Zugriff auf ein System benötigte, um die Infektion auf Firmware-Ebene zu installieren. Wenn jemand direkten Zugriff auf Ihren Computer hat, kann er natürlich tun, was er will. Trotzdem ist das UEFI-Rootkit besonders böse.

Ist Ihr System durch LoJax gefährdet?

Moderne UEFI-basierte Systeme bieten gegenüber ihren älteren BIOS-basierten Gegenstücken mehrere deutliche Vorteile.

Zum einen sind sie neuer. Neue Hardware ist nicht das A und O, aber sie erleichtert viele Computeraufgaben.

Zweitens verfügt die UEFI-Firmware auch über einige zusätzliche Sicherheitsfunktionen. Besonders hervorzuheben ist Secure Boot, Damit können nur Programme mit einer signierten digitalen Signatur ausgeführt werden.

Wenn dies deaktiviert ist und Sie auf ein Rootkit stoßen, werden Sie eine schlechte Zeit haben. Secure Boot ist auch im aktuellen Zeitalter der Ransomware ein besonders nützliches Tool. Schauen Sie sich das folgende Video von Secure Boot an, das sich mit der extrem gefährlichen NotPetya-Ransomware befasst:

NotPetya hätte alles auf dem Zielsystem verschlüsselt, wenn Secure Boot deaktiviert worden wäre.

LoJax ist eine ganz andere Art von Tier. Im Gegensatz zu früheren Berichten kann selbst Secure Boot LoJax nicht stoppen. Es ist äußerst wichtig, Ihre UEFI-Firmware auf dem neuesten Stand zu halten. Es gibt einige spezialisierte Anti-Rootkit-Tools Das vollständige Handbuch zum Entfernen von MalwareMalware ist heutzutage allgegenwärtig, und das Entfernen von Malware von Ihrem System ist ein langwieriger Prozess, der eine Anleitung erfordert. Wenn Sie glauben, Ihr Computer sei infiziert, ist dies die Anleitung, die Sie benötigen. Weiterlesen Auch, aber es ist unklar, ob sie sich gegen LoJax schützen können.

Wie viele Bedrohungen mit dieser Fähigkeitsstufe ist Ihr Computer jedoch ein Hauptziel. Fortgeschrittene Malware konzentriert sich hauptsächlich auf übergeordnete Ziele. Darüber hinaus weist LoJax Hinweise auf eine Beteiligung nationalstaatlicher Bedrohungsakteure auf. Eine weitere große Chance, dass LoJax Sie kurzfristig nicht beeinträchtigt. Trotzdem kann Malware in die Welt herausfiltern. Wenn Cyberkriminelle die erfolgreiche Verwendung von LoJax bemerken, wird dies bei regelmäßigen Malware-Angriffen möglicherweise häufiger.

Wie immer ist die Aktualisierung Ihres Systems eine der besten Möglichkeiten, Ihr System zu schützen. Ein Malwarebytes Premium-Abonnement ist ebenfalls eine große Hilfe. 5 Gründe für ein Upgrade auf Malwarebytes Premium: Ja, es lohnt sichWährend die kostenlose Version von Malwarebytes fantastisch ist, bietet die Premium-Version eine Reihe nützlicher und lohnender Funktionen. Weiterlesen