俄罗斯黑客开发的“ LoJax” UEFI Rootkit是什么?

rootkit是一种特别讨厌的恶意软件。当您进入操作系统时,将加载“常规"恶意软件感染。情况仍然很糟,但是像样的防病毒软件应该删除恶意软件并清理系统。

相反,rootkit会安装到系统固件中,并允许每次重新启动时都安装恶意负载。您的系统。

安全研究人员在野外发现了一个新的rootkit变体,名为LoJax。是什么让该rootkit与众不同?好吧,它可以感染基于UEFI的现代系统,而不是基于BIOS的旧系统。

LoJax UEFI Rootkit

ESET Research发表了一篇研究论文,详细介绍了LoJax,这是一种新发现的rootkit(什么是rootkit?),它可以成功地重新利用同名的商业软件。 (尽管研究团队将恶意软件命名为“ LoJax",但正版软件名为“ LoJack"。)

添加到威胁中,LoJax可以在重新安装Windows甚至重新安装Windows的整个过程中幸免于难。

该恶意软件通过攻击UEFI固件启动系统而得以生存。其他rootkit可能隐藏在驱动程序或引导扇区中,具体取决于它们的编码和攻击者的意图。 LoJax会钩住系统固件并在OS加载之前就重新感染系统。

到目前为止,唯一完全删除LoJax恶意软件的已知方法是在可疑系统上刷新新固件。大多数用户都没有使用固件闪存。尽管比过去更容易,但仍然存在很重要的问题,即刷新固件会出错,有可能使有问题的计算机变砖。

LoJax Rootkit如何工作?

LoJax使用绝对软件的LoJack防盗软件的重新打包版本。原始工具旨在在整个系统擦除或硬盘驱动器更换期间保持不变,因此被许可方可以跟踪被盗的设备。工具深入计算机的原因是完全合理的,LoJack仍然具有这些精确的特性,仍是受欢迎的防盗产品。

鉴于在美国,被盗笔记本电脑的97%是在美国。永远无法恢复,可以理解的是,用户希望为如此昂贵的投资提供额外的保护。

LoJax使用内核驱动程序 RwDrv.sys 来访问BIOS / UEFI设置。内核驱动程序与RWEverything捆绑在一起,RWEverything是用于读取和分析低级计算机设置(您通常无权访问的位)的合法工具。 LoJax rootkit感染过程中还有其他三个工具:

  • 第一个工具将有关低级系统设置(从RWEverything复制)的信息转储到文本文件中。绕过防止恶意固件更新的系统保护要求您了解系统。
  • 第二个工具“通过读取SPI闪存的内容将系统固件的映像保存到文件中。" SPI闪存主机
  • 第三个工具将恶意模块添加到固件映像中,然后将其写回到SPI闪存中。

    • 如果LoJax意识到SPI闪存受到保护, ,它利用已知漏洞(CVE-2014-8273)进行访问,然后继续并将rootkit写入内存。

    LoJax来自何处?

    ESET研究团队相信LoJax是臭名昭著的Fancy Bear / Sednit / Strontium / APT28俄罗斯黑客组织的工作。该黑客组织负责近年来的几次重大攻击。

    LoJax使用与SedUploader(另一种Sednit后门恶意软件)相同的命令和控制服务器。 LoJax还具有其他Sednit恶意软件的链接和痕迹,包括XAgent(另一种后门工具)和XTunnel(一种安全的网络代理工具)。

    此外,ESET研究发现,该恶意软件操作员“使用了不同的组件"。 LoJax恶意软件的目标是巴尔干以及中欧和东欧的一些政府组织。"

    LoJax的消息肯定引起了安全界的注意。但是,它不是第一个UEFI rootkit。黑客小组(一个恶意组织,可能是您想知道的)早在2015年就使用UEFI / BIOS Rootkit来在目标系统上安装远程控制系统代理。

    黑客团队UEFI rootkit和LoJax是交付方法。当时,安全研究人员认为黑客团队需要对系统进行物理访问才能安装固件级感染。当然,如果某人可以直接访问您的计算机,那么他们可以做自己想做的事情。仍然,UEFI rootkit尤其令人讨厌。

    您的系统是否受到LoJax的威胁?

    基于UEFI的现代系统相对于较旧的基于BIOS的系统具有几个明显的优势。

    其中一个是较新的。新硬件并不能解决所有问题,但是它确实使许多计算任务变得更加容易。

    第二,UEFI固件也具有一些其他安全功能。特别值得一提的是Secure Boot,它只允许运行带有签名数字签名的程序。

    如果将其关闭并遇到rootkit,将会很麻烦。在当前勒索软件时代,安全启动也是一个特别有用的工具。观看下面有关安全启动处理极端危险的NotPetya勒索软件的视频:

    如果关闭安全启动,NotPetya将对目标系统上的所有内容进行加密。

    LoJax与众不同完全是一种野兽。 与先前的报告相反,即使安全启动也无法停止LoJax 。保持UEFI固件最新非常重要。也有一些专门的反rootkit工具,但是尚不清楚它们是否可以防御LoJax。

    但是,像具有此功能级别的许多威胁一样,您的计算机是主要目标。高级恶意软件主要集中于高级目标。此外,LoJax还具有民族国家威胁参与者参与的迹象。 LoJax在短期内不会对您造成很大的影响。也就是说,恶意软件可以过滤掉整个世界。如果网络犯罪分子发现LoJax的成功使用,它可能会在常规的恶意软件攻击中变得越来越普遍。

    与以往一样,保持系统最新是保护系统的最佳方法之一。 Malwarebytes Premium订阅也有很大的帮助。

    标签: 恶意软件 Rootkit UEFI