Sicherheit

Was ist das UEFI-Rootkit „LoJax“, das von russischen Hackern entwickelt wurde?

Was ist das UEFI-Rootkit „LoJax“, das von russischen Hackern entwickelt wurde? / Sicherheit

Ein Rootkit ist eine besonders böse Art von Malware. EIN “regulär” Eine Malware-Infektion wird geladen, wenn Sie das Betriebssystem öffnen. Es ist immer noch eine schlechte Situation, aber ein anständiges Antivirusprogramm sollte die Malware entfernen und Ihr System bereinigen.

Umgekehrt wird ein Rootkit auf der Firmware Ihres Systems installiert, und bei jedem Neustart des Systems können bösartige Nutzdaten installiert werden.

Sicherheitsforscher haben in der Wildnis eine neue Rootkit-Variante mit dem Namen LoJax entdeckt. Was unterscheidet dieses Rootkit von anderen? Nun, es kann moderne UEFI-basierte Systeme und nicht ältere BIOS-basierte Systeme infizieren. Und das ist ein Problem.

Das LoJax UEFI Rootkit

ESET Research veröffentlichte ein Forschungspapier, in dem LoJax beschrieben wird, ein neu entdecktes Rootkit (Was ist ein Rootkit?), Das erfolgreich eine kommerzielle Software mit demselben Namen wiederverwendet. (Obwohl das Forschungsteam die Malware getauft hat “LoJax,” die Originalsoftware heißt “LoJack.”)

Zusätzlich zu der Bedrohung kann LoJax eine vollständige Neuinstallation von Windows überstehen und sogar die Festplatte ersetzen.

Die Malware überlebt, indem das UEFI-Firmware-Startsystem angegriffen wird. Andere Rootkits verstecken sich möglicherweise in Treibern oder Bootsektoren. Was ist ein Bootkit und ist Nemesis eine echte Bedrohung? Was ist ein Bootkit und ist Nemesis eine echte Bedrohung? Hacker finden weiterhin Möglichkeiten, Ihr System zu stören, beispielsweise das Bootkit. Sehen wir uns an, was ein Bootkit ist, wie die Nemesis-Variante funktioniert, und überlegen Sie, was Sie tun können, um klar zu bleiben. Lesen Sie mehr, je nach Codierung und Absicht des Angreifers. LoJax greift in die Systemfirmware ein und infiziert das System erneut, bevor das Betriebssystem überhaupt geladen wird.

Die einzige bekannte Methode, um die LoJax-Malware vollständig zu entfernen, ist das Flashen der neuen Firmware über das verdächtige System. So aktualisieren Sie Ihr UEFI-BIOS in Windows So aktualisieren Sie Ihr UEFI-BIOS in Windows Die meisten PC-Benutzer müssen ihr BIOS nicht aktualisieren. Wenn Sie jedoch für eine dauerhafte Stabilität sorgen, sollten Sie regelmäßig prüfen, ob ein Update verfügbar ist. Wir zeigen Ihnen, wie Sie Ihr UEFI-BIOS sicher aktualisieren können. Weiterlesen . Die meisten Benutzer haben Erfahrung mit einem Firmware-Flash. Es ist zwar einfacher als in der Vergangenheit, aber es ist immer noch wichtig, dass das Flashen einer Firmware fehlerhaft ist und möglicherweise die betreffende Maschine blockiert.

Wie funktioniert das LoJax Rootkit??

LoJax verwendet eine neu verpackte Version der Diebstahlschutzsoftware LoJack von Absolute Software. Das ursprüngliche Tool ist während des Systemlöschvorgangs oder des Austauschs einer Festplatte dauerhaft, damit der Lizenznehmer ein gestohlenes Gerät verfolgen kann. Die Gründe, warum das Werkzeug so tief in den Computer gegraben hat, sind recht legitim, und LoJack ist immer noch ein beliebtes Diebstahlschutzprodukt für diese exakten Eigenschaften.

Angesichts der Tatsache, dass in den USA 97 Prozent der gestohlenen Laptops nie wiederhergestellt werden, ist es verständlich, dass die Benutzer zusätzlichen Schutz für eine derart teure Investition wünschen.

LoJax verwendet einen Kernel-Treiber, RwDrv.sys, um auf die BIOS / UEFI-Einstellungen zuzugreifen. Der Kernel-Treiber ist mit RWEverything gebündelt, einem legitimen Werkzeug zum Lesen und Analysieren von Low-Level-Computereinstellungen (Bits, auf die Sie normalerweise keinen Zugriff haben). Es gab drei weitere Werkzeuge im LoJax-Rootkit-Infektionsprozess:

  • Das erste Tool gibt Informationen über die untergeordneten Systemeinstellungen (von RWEverything kopiert) in eine Textdatei aus. Um den Systemschutz gegen schädliche Firmware-Updates zu umgehen, sind Kenntnisse des Systems erforderlich.
  • Das zweite Werkzeug “speichert ein Image der System-Firmware in einer Datei, indem der Inhalt des SPI-Flash-Speichers gelesen wird.” Der SPI-Flash-Speicher enthält das UEFI / BIOS.
  • Ein drittes Tool fügt das schädliche Modul zum Firmware-Image hinzu und schreibt es in den SPI-Flash-Speicher zurück.

Wenn LoJax erkennt, dass der SPI-Flash-Speicher geschützt ist, nutzt es eine bekannte Sicherheitsanfälligkeit (CVE-2014-8273), um darauf zuzugreifen, fährt dann fort und schreibt das Rootkit in den Speicher.

Woher kam LoJax??

Das ESET Research Team glaubt, dass LoJax die Arbeit der berüchtigten russischen Hacking-Gruppe Fancy Bear / Sednit / Strontium / APT28 ist. Die Hacking-Gruppe ist in den letzten Jahren für mehrere größere Angriffe verantwortlich.

LoJax verwendet dieselben Befehls- und Steuerungsserver wie SedUploader - eine andere Backtop-Malware von Sednit. LoJax enthält auch Links und Spuren anderer Sednit-Malware, einschließlich XAgent (ein anderes Backdoor-Tool) und XTunnel (ein sicheres Netzwerk-Proxy-Tool)..

Darüber hinaus fand die ESET-Untersuchung, dass die Malware-Betreiber “verwendete verschiedene Komponenten der LoJax-Malware, um einige Regierungsorganisationen auf dem Balkan sowie in Mittel- und Osteuropa anzugreifen.”

LoJax ist nicht das erste UEFI-Rootkit

Die Nachricht von LoJax hat sicherlich dazu geführt, dass sich die Sicherheitswelt aufhielt und zur Kenntnis nahm. Es ist jedoch nicht das erste UEFI-Rootkit. Das Hacking-Team (eine bösartige Gruppe, nur für den Fall, dass Sie sich gefragt haben), hat im Jahr 2015 ein UEFI / BIOS-Rootkit verwendet, um einen Remote-Control-Systemagenten auf Zielsystemen zu installieren.

Der Hauptunterschied zwischen dem UEFI-Rootkit und dem LoJax von The Hacking Team ist die Zustellmethode. Zu der Zeit glaubten Sicherheitsforscher, dass das Hacking Team physischen Zugriff auf ein System benötigte, um die Infektion auf Firmware-Ebene zu installieren. Wenn jemand direkten Zugriff auf Ihren Computer hat, kann er natürlich tun, was er will. Das UEFI-Rootkit ist jedoch besonders unangenehm.

Ist Ihr System durch LoJax gefährdet??

Moderne UEFI-basierte Systeme haben gegenüber ihren älteren, auf BIOS basierenden Gegenstücken mehrere entscheidende Vorteile.

Zum einen sind sie neuer. Neue Hardware ist nicht das A und O, macht aber viele Rechenaufgaben einfacher.

Zweitens verfügt die UEFI-Firmware auch über einige zusätzliche Sicherheitsfunktionen. Besonders hervorzuheben ist der sichere Start, bei dem nur Programme mit signierter digitaler Signatur ausgeführt werden können.

Wenn dies deaktiviert ist und Sie auf ein Rootkit stoßen, wird es Ihnen schlecht gehen. Secure Boot ist auch im aktuellen Zeitalter der Ransomware ein besonders nützliches Werkzeug. Schauen Sie sich das folgende Video von Secure Boot an, das sich mit der extrem gefährlichen Ransomware NotPetya befasst:

NotPetya hätte alles auf dem Zielsystem verschlüsselt, wenn Secure Boot deaktiviert war.

LoJax ist eine ganz andere Art von Tier. Im Gegensatz zu früheren Berichten kann auch Secure Boot LoJax nicht stoppen. Es ist äußerst wichtig, dass Sie Ihre UEFI-Firmware auf dem neuesten Stand halten. Es gibt einige spezielle Anti-Rootkit-Tools. Das vollständige Handbuch zur Entfernung von Malware Das vollständige Handbuch zur Entfernung von Malware Malware ist heutzutage überall zu finden. Die Beseitigung von Malware in Ihrem System ist langwierig und erfordert eine Anleitung. Wenn Sie glauben, dass Ihr Computer infiziert ist, ist dies die Anleitung, die Sie benötigen. Lesen Sie auch mehr, aber es ist unklar, ob sie sich vor LoJax schützen können.

Wie bei vielen Bedrohungen mit dieser Fähigkeit ist Ihr Computer jedoch ein vorrangiges Ziel. Advanced Malware konzentriert sich vorwiegend auf übergeordnete Ziele. Darüber hinaus hat LoJax die Anzeichen für die Beteiligung nationaler Akteure an der Bedrohung der Bedrohung; eine weitere große Chance, dass LoJax Sie kurzfristig nicht beeinträchtigt. Allerdings hat Malware eine Möglichkeit, in die Welt zu filtern. Wenn Cyberkriminelle die erfolgreiche Verwendung von LoJax feststellen, könnte dies bei regelmäßigen Malware-Angriffen allgemeiner werden.

Wie immer ist die Aktualisierung Ihres Systems eine der besten Möglichkeiten, Ihr System zu schützen. Ein Malwarebytes Premium-Abonnement ist auch eine große Hilfe. 5 Gründe für ein Upgrade auf Malwarebytes Premium: Ja, es lohnt sich 5 Gründe für ein Upgrade auf Malwarebytes Premium: Ja, es lohnt sich Während die kostenlose Version von Malwarebytes großartig ist, bietet die Premium-Version eine Reihe nützlicher und nützlicher Funktionen. Weiterlesen

Erfahren Sie mehr über: Malware, Rootkit, UEFI.