Apa itu Rootkit UEFI "LoJax" yang Dikembangkan oleh Peretas Rusia?

Iklan

Rootkit adalah jenis malware yang sangat jahat. Infeksi malware "biasa" dimuat ketika Anda memasuki sistem operasi. Ini masih situasi yang buruk, tetapi antivirus yang layak harus menghapus malware dan membersihkan sistem Anda.

Sebaliknya, rootkit dipasang ke firmware sistem Anda dan memungkinkan pemasangan muatan berbahaya setiap kali Anda menyalakan ulang sistem.

Peneliti keamanan telah menemukan varian rootkit baru di alam liar, bernama LoJax. Apa yang membedakan rootkit ini dari yang lain? Yah, itu dapat menginfeksi sistem berbasis UEFI modern, daripada sistem berbasis BIOS yang lebih tua. Dan itu masalah.

LoJax UEFI Rootkit

Penelitian ESET diterbitkan makalah penelitian yang merinci LoJax, rootkit yang baru ditemukan (apa itu rootkit?) yang berhasil menggunakan kembali perangkat lunak komersial dengan nama yang sama. (Meskipun tim peneliti membaptis malware "LoJax," perangkat lunak asli bernama "LoJack.")

Menambah ancaman, LoJax dapat selamat dari instalasi ulang Windows yang lengkap dan bahkan penggantian hard drive.

Malware tersebut bertahan dengan menyerang sistem boot firmware UEFI. Lain rootkit mungkin bersembunyi di driver atau sektor boot Apa itu Bootkit, dan Apakah Nemesis Ancaman Asli?Peretas terus menemukan cara untuk mengganggu sistem Anda, seperti bootkit. Mari kita lihat apa itu bootkit, bagaimana varian Nemesis bekerja, dan pertimbangkan apa yang dapat Anda lakukan untuk tetap jelas. Baca lebih banyak , tergantung pada pengkodean mereka dan maksud penyerang. LoJax menghubungkan ke firmware sistem dan menginfeksi ulang sistem sebelum OS bahkan memuat.

Sampai sekarang, satu-satunya metode yang diketahui untuk menghapus malware LoJax sepenuhnya adalah memasang firmware baru melalui sistem yang dicurigai Cara Memperbarui UEFI BIOS Anda di WindowsSebagian besar pengguna PC pergi tanpa memperbarui BIOS mereka. Namun, jika Anda menjaga stabilitas yang berkelanjutan, Anda harus secara berkala memeriksa apakah pembaruan tersedia. Kami menunjukkan kepada Anda cara memperbarui UEFI BIOS dengan aman. Baca lebih banyak . Flash firmware bukan sesuatu yang dialami sebagian besar pengguna. Meskipun lebih mudah daripada di masa lalu, masih ada yang signifikan bahwa flashing firmware akan salah, berpotensi merusak mesin yang dimaksud.

Bagaimana cara kerja LoJax Rootkit?

LoJax menggunakan versi repackaged dari perangkat lunak anti-pencurian Loute dari Absolute Software. Alat asli dimaksudkan untuk bertahan selama penghapusan sistem atau penggantian hard drive sehingga pemegang lisensi dapat melacak perangkat yang dicuri. Alasan untuk alat menggali jauh ke dalam komputer cukup sah, dan LoJack masih merupakan produk anti-pencurian populer untuk kualitas yang tepat ini.

Mengingat bahwa, di AS, 97 persen laptop curian adalah tidak pernah pulih, dapat dimengerti pengguna menginginkan perlindungan ekstra untuk investasi yang begitu mahal.

LoJax menggunakan driver kernel, RwDrv.sys, untuk mengakses pengaturan BIOS / UEFI. Driver kernel dibundel dengan RWEverything, alat yang sah yang digunakan untuk membaca dan menganalisis pengaturan komputer tingkat rendah (bit yang biasanya tidak Anda akses). Ada tiga alat lain dalam proses infeksi rootkit LoJax:

• Alat pertama membuang informasi tentang pengaturan sistem tingkat rendah (disalin dari RWEverything) ke file teks. Melewati perlindungan sistem terhadap pembaruan firmware berbahaya memerlukan pengetahuan tentang sistem.
• Alat kedua "menyimpan gambar firmware sistem ke file dengan membaca konten memori flash SPI." Memori flash SPI menampung UEFI / BIOS.
• Alat ketiga menambahkan modul berbahaya ke gambar firmware lalu menulisnya kembali ke memori flash SPI.

Jika LoJax menyadari bahwa memori flash SPI dilindungi, ia mengeksploitasi kerentanan yang diketahui (CVE-2014-8273) untuk mengaksesnya, kemudian melanjutkan dan menulis rootkit ke memori.

Dari mana LoJax Berasal?

Tim Riset ESET percaya bahwa LoJax adalah karya kelompok peretas Rusia Fancy Bear / Sednit / Strontium / APT28 yang terkenal. Grup peretasan bertanggung jawab atas beberapa serangan besar dalam beberapa tahun terakhir.

LoJax menggunakan perintah dan kontrol server yang sama dengan SedUploader — malware backdoor Sednit lainnya. LoJax juga memiliki tautan dan jejak malware Sednit lainnya, termasuk XAgent (alat backdoor lain), dan XTunnel (alat proxy jaringan aman).

Selain itu, penelitian ESET menemukan bahwa operator malware "menggunakan berbagai komponen LoJax malware untuk menargetkan beberapa organisasi pemerintah di Balkan serta Tengah dan Timur Eropa."

LoJax Bukan Rootkit UEFI Pertama

Berita tentang LoJax tentu saja menyebabkan dunia keamanan duduk dan mencatat. Namun, ini bukan rootkit UEFI pertama. Tim Peretasan (grup jahat, kalau-kalau Anda bertanya-tanya) menggunakan rootkit UEFI / BIOS kembali pada tahun 2015 untuk menjaga agen sistem kendali jarak jauh diinstal pada sistem target.

Perbedaan utama antara rootkit Tim UEFI dan LoJax adalah metode pengiriman. Pada saat itu, peneliti keamanan berpikir bahwa Tim Peretasan memerlukan akses fisik ke sistem untuk menginstal infeksi tingkat firmware. Tentu saja, jika seseorang memiliki akses langsung ke komputer Anda, mereka dapat melakukan apa yang mereka inginkan. Meski demikian, rootkit UEFI sangat jahat.

Apakah Sistem Anda Berisiko Dari LoJax?

Sistem modern berbasis UEFI memiliki beberapa keunggulan berbeda dibandingkan sistem berbasis BIOS yang lebih lama.

Untuk satu, mereka lebih baru. Perangkat keras baru bukanlah segalanya, tapi itu membuat banyak tugas komputasi lebih mudah.

Kedua, UEFI-firmware memiliki beberapa fitur keamanan tambahan juga. Terutama catatan adalah Boot Aman, yang hanya memungkinkan program dengan tanda tangan digital yang ditandatangani untuk berjalan.

Jika ini dimatikan dan Anda menemukan rootkit, Anda akan memiliki waktu yang buruk. Secure Boot adalah alat yang sangat berguna di zaman ransomware saat ini juga. Lihatlah video Boot Aman berikut yang berhubungan dengan ransomware NotPetya yang sangat berbahaya:

NotPetya akan mengenkripsi semua yang ada di sistem target seandainya Secure Boot dimatikan.

LoJax adalah jenis binatang yang sama sekali berbeda. Bertentangan dengan laporan sebelumnya, bahkan Boot Aman tidak dapat menghentikan LoJax. Menjaga firmware UEFI Anda tetap terbaru adalah sangat penting. Ada beberapa alat khusus anti-rootkit Panduan Penghapusan Malware LengkapMalware ada di mana-mana akhir-akhir ini, dan memberantas malware dari sistem Anda adalah proses yang panjang, membutuhkan panduan. Jika Anda merasa komputer Anda terinfeksi, ini adalah panduan yang Anda butuhkan. Baca lebih banyak juga, tetapi tidak jelas apakah mereka dapat melindungi terhadap LoJax.

Namun, seperti banyak ancaman dengan tingkat kemampuan ini, komputer Anda adalah target utama. Malware canggih terutama berfokus pada target tingkat tinggi. Selain itu, LoJax memiliki indikasi keterlibatan aktor ancaman negara-negara; kesempatan lain yang kuat LoJax tidak akan memengaruhi Anda dalam jangka pendek. Yang mengatakan, malware memiliki cara penyaringan ke dunia. Jika penjahat cyber melihat keberhasilan penggunaan LoJax, itu mungkin menjadi lebih umum dalam serangan malware biasa.

Seperti biasa, memperbarui sistem Anda adalah salah satu cara terbaik untuk melindungi sistem Anda. Berlangganan Malwarebytes Premium juga sangat membantu. 5 Alasan untuk Memutakhirkan ke Malwarebytes Premium: Ya, It's Worth ItSementara versi gratis Malwarebytes mengagumkan, versi premium memiliki banyak fitur yang bermanfaat dan bermanfaat. Baca lebih banyak