Lesley Fowler
0 
1164
15
Bir rootkit, özellikle kötü niyetli bir kötü amaçlı yazılım türüdür. bir “düzenli” işletim sistemine girdiğinizde kötü amaçlı yazılım bulaşması yükler. Hala kötü bir durum, ancak iyi bir antivirüs kötü amaçlı yazılımı kaldırmalı ve sisteminizi temizlemelidir.
Tersine, bir rootkit sistem donanım yazılımınıza yüklenir ve sisteminizi her yeniden başlattığınızda zararlı yükün yüklenmesine izin verir.
Güvenlik araştırmacıları, vahşi doğada LoJax adlı yeni bir rootkit çeşidini tespit ettiler. Bu rootkit'i diğerlerinden ayıran nedir? Eski BIOS tabanlı sistemlerden ziyade modern UEFI tabanlı sistemlere bulaşabilir. Ve bu bir problem.
LoJax UEFI Rootkit
ESET Research, aynı adı taşıyan ticari bir yazılımı başarıyla yeniden amaçlayan, yeni keşfedilen bir rootkit (bir rootkit nedir?) Olan LoJax'ı ayrıntılandıran bir araştırma makalesi yayınladı. (Araştırma ekibi kötü amaçlı yazılımı vaftiz etmesine rağmen “LoJax,” orijinal yazılım “Mantik.”)
Tehditleri ekleyen LoJax, Windows'un tamamen yeniden kurulmasından ve hatta sabit sürücünün değiştirilmesinden kurtulabilir.
Kötü amaçlı yazılım, UEFI bellenim önyükleme sistemine saldırarak hayatta kalır. Diğer rootkit'ler sürücülere veya boot sektörlerine gizlenebilirler Bootkit Nedir ve Nemesis Gerçek Bir Tehdit midir? Bootkit Nedir ve Nemesis Gerçek Bir Tehdit midir? Hacker'lar bootkit gibi sisteminizi bozmanın yollarını bulmaya devam ediyor. Bir önyükleme setinin ne olduğuna, Nemesis değişkeninin nasıl çalıştığına bakalım ve açık kalmak için neler yapabileceğinizi düşünelim. , kodlamalarına ve saldırganın amacına bağlı olarak. LoJax, sistem yazılımının içine kancalar ve işletim sistemi yüklenmeden önce sistemi yeniden etkiler.
Henüz LoJax kötü amaçlı yazılımını tamamen kaldırmanın bilinen tek yolu, şüpheli sistem üzerinde yeni ürün yazılımını yanıp sönüyor. Windows'ta UEFI BIOS'unuzu Güncelleme Windows'da UEFI BIOS'unuzu Güncelleme Çoğu PC kullanıcısı BIOS'larını güncellemeden devam ediyor. Ancak istikrarın sürekliliğini önemsiyorsanız, güncellemenin olup olmadığını periyodik olarak kontrol etmelisiniz. UEFI BIOS'unuzu nasıl güvenle güncelleyebileceğinizi gösteriyoruz. . Bir ürün yazılımı flaşı, çoğu kullanıcının deneyimlediği bir şey değildir. Geçmişte olduğundan daha kolay olsa da, bir bellenimin yanıp sönmesinin yanlış olacağı ve potansiyel olarak söz konusu makineyi ördüğüne dair önemli bir husus var.
LoJax Rootkit Nasıl Çalışır??
LoJax, Absolute Software'in LoJack hırsızlık önleme yazılımının yeniden paketlenmiş bir versiyonunu kullanır. Orijinal aracın bir sistem silme veya sabit disk değiştirme boyunca kalıcı olması amaçlanmıştır, böylece lisans sahibi çalınan bir cihazı izleyebilir. Aracın bilgisayara bu kadar derin girmesinin sebepleri oldukça meşru ve LoJack hala bu nitelikler için popüler bir hırsızlık önleme ürünü..
ABD'de, çalınan dizüstü bilgisayarların yüzde 97'sinin asla geri kazanılmadığı göz önüne alındığında, bu pahalı bir yatırım için ekstra koruma isteyen anlaşılabilir kullanıcılar.
LoJax bir çekirdek sürücüsü kullanıyor, RwDrv.sys, BIOS / UEFI ayarlarına erişmek için. Çekirdek sürücüsü, düşük seviye bilgisayar ayarlarını okumak ve analiz etmek için kullanılan meşru bir araç olan RWEverything ile birlikte gelir (normalde erişemediğiniz bit'ler). LoJax rootkit enfeksiyonu sürecinde diğer üç araç vardı:
- İlk araç, düşük seviyeli sistem ayarları (RWEverything'den kopyalanan) hakkındaki bilgileri bir metin dosyasına aktarır. Kötü amaçlı yazılım güncellemelerine karşı sistemin korunmasını atlamak, sistemin bilgisini gerektirir.
- İkinci araç “SPI flash belleğinin içeriğini okuyarak sistem belleniminin görüntüsünü bir dosyaya kaydeder..” SPI flash bellek, UEFI / BIOS'u barındırır.
- Üçüncü bir araç kötü amaçlı modülü bellenim görüntüsüne ekler ve daha sonra tekrar SPI flash belleğe yazar..
LoJax, SPI flash belleğinin korunduğunu fark ederse, erişmek için bilinen bir güvenlik açığından (CVE-2014-8273) yararlanır, ardından rootkit’i belleğe yazar ve devam eder..
LoJax nereden geldi??
ESET Araştırma ekibi, LoJax'ın ünlü Fantezi Ayı / Sednit / Strontium / APT28 Rus hack grubunun eseri olduğuna inanıyor. Hackleme grubu, son yıllarda meydana gelen birkaç büyük saldırıdan sorumlu.
LoJax, SedUploader ile başka bir Sednit arka kapı yazılımıyla aynı komut ve kontrol sunucularını kullanır. LoJax ayrıca XAgent (başka bir arka kapı aracı) ve XTunnel (güvenli bir ağ proxy aracı) dahil olmak üzere diğer Sednit kötü amaçlı yazılımlarının bağlantılarına ve izlerine sahiptir..
Ek olarak, ESET araştırması kötü amaçlı yazılım operatörlerinin çalıştığını tespit etti. “Balkanlar ve Orta ve Doğu Avrupa’daki birkaç devlet kurumunu hedef almak için LoJax kötü amaçlı yazılımın farklı bileşenlerini kullandı.”
LoJax ilk UEFI Rootkit değil
LoJax'in haberi kesinlikle güvenlik dünyasının oturmasına ve not almasına neden oldu. Ancak, ilk UEFI rootkit değil. Hacking Team (kötü niyetli bir grup, sadece merak ediyorsanız), hedef sistemlere uzaktan kumandalı bir sistem aracısını kurmak için 2015 yılında bir UEFI / BIOS rootkit kullanıyordu..
Hacking Team UEFI rootkit ve LoJax arasındaki en büyük fark, teslimat yöntemidir. O sırada güvenlik araştırmacıları Hacking Team'in ürün yazılımı bulaşmasını kurmak için bir sisteme fiziksel erişim gerektirdiğini düşünüyorlardı. Elbette, birisi bilgisayarınıza doğrudan erişebiliyorsa, istediklerini yapabilir. Yine de, UEFI rootkit özellikle kötüdür.
LoJax'dan Sisteminiz Risk Altında mı??
Modern UEFI tabanlı sistemler, eski BIOS tabanlı rakiplerine göre birçok farklı avantaja sahiptir.
Birincisi, onlar daha yeni. Yeni donanım hepsi hepsi değildir ve hepsi değildir, ancak birçok bilgisayar görevini kolaylaştırır.
İkincisi, UEFI ürün yazılımı da birkaç ek güvenlik özelliğine sahiptir. Özellikle not, yalnızca dijital imzalı imzalı programların çalışmasına izin veren Güvenli Önyükleme'dir..
Bu kapatılırsa ve bir rootkit ile karşılaşırsanız, kötü bir zaman geçireceksiniz. Güvenli Önyükleme, geçerli fidye yazılımı çağında da özellikle yararlı bir araçtır. Son derece tehlikeli NotPetya ransomware ile ilgili aşağıdaki Güvenli Önyükleme videosunu izleyin:
NotPetya, Güvenli Önyükleme kapalıyken hedef sistemdeki her şeyi şifreli olurdu.
LoJax, tamamen farklı bir tür canavardır. Daha önceki raporların aksine, Güvenli Önyükleme bile LoJax'ı durduramaz. UEFI donanım yazılımınızı güncel tutmak çok önemlidir. Bazı özel anti-rootkit araçları bulunmaktadır. Kötü Amaçlı Yazılımları Giderme Kılavuzunun Tamamı Kötü Amaçlı Yazılımları Giderme Kılavuzunun Tamamı Kötü Amaçlı Yazılımlar, bugünlerde her yerdedir ve sisteminizden kötü amaçlı yazılımları yok etmek, rehberlik gerektiren uzun bir işlemdir. Bilgisayarınıza virüs bulaştığını düşünüyorsanız, ihtiyacınız olan kılavuz budur. Aynı zamanda LoJax’a karşı korunabilecekleri belli değil..
Ancak, bu düzeydeki yeteneklere sahip birçok tehdit gibi, bilgisayarınız da birincil hedef. Gelişmiş kötü amaçlı yazılımlar çoğunlukla üst düzey hedeflere odaklanır. Dahası, LoJax ulus devlet tehdit aktörlerinin katılımının belirtilerine sahiptir; bir başka güçlü şans LoJax kısa vadede sizi etkilemeyecek. Bununla birlikte, kötü amaçlı yazılımın dünyayı filtrelemenin bir yolu olduğunu söyledi. Siber suçlular LoJax'ın başarılı bir şekilde kullanıldığını tespit ederse, düzenli zararlı yazılım saldırılarında daha yaygın hale gelebilir.
Her zaman olduğu gibi, sisteminizi güncel tutmak, sisteminizi korumanın en iyi yollarından biridir. Bir Malwarebytes Premium aboneliği de büyük bir yardımdır. Malwarebytes Premium'a Yükseltmek İçin 5 Sebep Premium: Evet, Buna Değer Var Malwarebytes Premium'a Yükseltmek İçin 5 Sebep Premium: Evet, Buna Değer Malwarebytes'in ücretsiz sürümü muhteşem olsa da, premium sürümün bir sürü kullanışlı ve faydalı özellikleri var.