Руткит — это особенно неприятный тип вредоносного ПО. «Обычное» заражение вредоносным ПО загружается при входе в операционную систему. Это все еще плохая ситуация, но приличный антивирус должен удалить вредоносную программу и очистить вашу систему.
И наоборот, руткит устанавливается в прошивку вашей системы и позволяет устанавливать вредоносную полезную нагрузку при каждой перезагрузке системы.
Исследователи безопасности обнаружили новый вариант руткита под названием LoJax. Что отличает этот руткит от других? Ну, это может заразить современные системы на основе UEFI, а не старые системы на основе BIOS. И это проблема.
LoJax UEFI руткит
ESET Research опубликовало исследовательский документ, в котором подробно описывается LoJax, недавно обнаруженный руткит (что такое руткит?), Который успешно переопределяет коммерческое программное обеспечение с тем же именем. (Хотя исследовательская группа окрестила вредоносное ПО «LoJax», подлинное программное обеспечение называется «LoJack».)
В дополнение к угрозе, LoJax может пережить полную переустановку Windows и даже замену жесткого диска.
Вредоносная программа выживает, атакуя систему загрузки прошивки UEFI. Другие руткиты могут скрываться в драйверах или загрузочных секторах
в зависимости от их кодировки и намерений атакующего. LoJax подключается к системной прошивке и повторно заражает систему еще до загрузки ОС.
Пока единственным известным способом полного удаления вредоносного ПО LoJax является прошивка новой прошивки через подозрительную систему.
, Прошивка прошивки — это не то, с чем сталкиваются большинство пользователей. Несмотря на то, что это проще, чем в прошлом, все же важно, что перепрошивка микропрограммы пойдет не так, что может привести к поломке рассматриваемой машины.
Как работает руткит LoJax?
LoJax использует переупакованную версию программного обеспечения Absolute Software для защиты от краж LoJack. Предполагается, что оригинальный инструмент должен быть постоянным во время очистки системы или замены жесткого диска, чтобы лицензиат мог отслеживать украденное устройство. Причины, по которым инструмент так глубоко проникает в компьютер, вполне законны, и LoJack по-прежнему остается популярным продуктом для защиты от кражи именно этих качеств.
Учитывая, что в США 97 процентов украденных ноутбуков никогда не возвращаются, понятно, что пользователям нужна дополнительная защита для таких дорогих инвестиций.
LoJax использует драйвер ядра, RwDrv.sys, для доступа к настройкам BIOS / UEFI. Драйвер ядра в комплекте с RWEverything, законным инструментом, используемым для чтения и анализа низкоуровневых настроек компьютера (биты, к которым у вас обычно нет доступа). В процессе заражения руткитом LoJax было три других инструмента:
- Первый инструмент выводит информацию о низкоуровневых системных настройках (скопированных из RWEverything) в текстовый файл. Обход защиты системы от вредоносных обновлений прошивки требует знания системы.
- Второй инструмент «сохраняет образ встроенного программного обеспечения системы в файл, читая содержимое флэш-памяти SPI». Во флэш-памяти SPI размещается UEFI / BIOS.
- Третий инструмент добавляет вредоносный модуль в образ прошивки, а затем записывает его обратно во флэш-память SPI.
Если LoJax понимает, что флэш-память SPI защищена, он использует известную уязвимость (CVE-2014-8273) для доступа к ней, затем продолжает и записывает руткит в память.
Откуда появился LoJax?
Исследовательская команда ESET считает, что LoJax — работа печально известной российской хакерской группы Fancy Bear / Sednit / Strontium / APT28. Хакерская группа ответственна за несколько крупных атак в последние годы.
LoJax использует те же серверы управления и контроля, что и SedUploader — еще одно вредоносное ПО Sednit. LoJax также имеет ссылки и следы других вредоносных программ Sednit, включая XAgent (еще один бэкдор-инструмент) и XTunnel (инструмент защищенного сетевого прокси-сервера).
Кроме того, исследование ESET показало, что операторы вредоносного ПО «использовали различные компоненты вредоносного ПО LoJax для нескольких правительственных организаций на Балканах, а также в Центральной и Восточной Европе».
LoJax — не первый руткит UEFI
Известие о LoJax определенно заставило мир безопасности сесть и принять к сведению. Однако это не первый руткит UEFI. Hacking Team (злонамеренная группа, на всякий случай, если вам интересно) использовала руткит UEFI / BIOS еще в 2015 году, чтобы сохранить агент системы удаленного управления установленным на целевых системах.
Основное различие между руткитом UEFI The Hacking Team и LoJax заключается в способе доставки. В то время исследователи безопасности считали, что Hacking Team необходим физический доступ к системе для установки заражения на уровне прошивки. Конечно, если кто-то имеет прямой доступ к вашему компьютеру, он может делать то, что хочет. Тем не менее, руткит UEFI особенно неприятен.
Ваша система находится в опасности от LoJax?
Современные системы на основе UEFI имеют несколько явных преимуществ по сравнению со своими старыми аналогами на основе BIOS.
С одной стороны, они новее. Новое оборудование — это еще не все, но оно делает многие вычислительные задачи проще.
Во-вторых, UEFI-прошивка также имеет несколько дополнительных функций безопасности. Особо следует отметить безопасную загрузку, которая позволяет запускать только программы с подписанной цифровой подписью.
Если это отключено, и вы столкнетесь с руткитом, у вас будет плохое время. Безопасная загрузка — особенно полезный инструмент в нынешнем веке вымогателей. Посмотрите следующее видео о безопасной загрузке, рассказывающее о чрезвычайно опасном вымогателе NotPetya:
NotPetya зашифровал бы все в целевой системе, если бы Secure Boot был отключен.
LoJax — это совсем другой зверь. Вопреки более ранним сообщениям, даже Безопасная загрузка не может остановить LoJax. Поддержание вашей прошивки UEFI в актуальном состоянии чрезвычайно важно. Есть несколько специализированных инструментов для борьбы с руткитами
тоже, но неясно, смогут ли они защитить от LoJax.
Однако, как и многие угрозы с таким уровнем возможностей, ваш компьютер является основной целью. Передовые вредоносные программы преимущественно ориентированы на высокоуровневые цели. Кроме того, у LoJax есть признаки вовлеченности действующего лица на государственном уровне; еще один серьезный шанс, что LoJax не повлияет на вас в краткосрочной перспективе. Тем не менее, вредоносные программы имеют способ фильтрации в мире. Если киберпреступники заметят успешное использование LoJax, это может стать более распространенным явлением в регулярных атаках вредоносных программ.
Как всегда, поддержание вашей системы в актуальном состоянии — один из лучших способов защитить вашу систему. Также очень полезна подписка на Malwarebytes Premium.