Ashwin 25. januar 2022 Sikkerhet | 1
En ny skadelig programvare har skapt overskriftene de siste dagene. Rootsettet, som har blitt identifisert som Moonbounce, er en vedvarende skadelig programvare som kan overleve stasjonsformater og OS-installeringer på nytt.
< p>Dette er ikke en vanlig trojaner eller virus som påvirker Windows, det er et sofistikert oppstartsett som retter seg mot hovedkortets fastvare, United Extensible Firmware Interface, vanligvis forkortet til UEFI. Dette gjør at skadelig programvare kan overleve endringer som er gjort på harddisken eller operativsystemet. Hovedkortet ditt har sin egen lagringsbrikke kalt et flashminne. Denne SPI-flashen inneholder programvaren som kreves for å starte og kommunisere med resten av maskinvaren.
Bilde fra Pexels
ANNONSE
En rapport fra Kaspersky sier at Moonbounce malware ble opprettet av en hackergruppe kalt APT41. CSOOnline melder at gruppen er mistenkt for å ha bånd med den kinesiske regjeringen. Den beryktede nettspionasjegruppen har også vært involvert i nettkriminalitetskampanjer over hele verden i et tiår. Den russiske antivirusprodusenten bemerker at fastvareoppstartssettet først ble oppdaget våren 2021, og at det er mer avansert enn de to tidligere skadevare i sitt slag, LoJax og MosaicRegressor. Når det er sagt, har den nye skadevaren bare blitt funnet én gang så langt.
Merk: Mange mennesker, og til og med OEM-er, refererer til UEFI som BIOS, mens de er teknisk og funksjonelt forskjellige, sistnevnte er den mest populære sikt siden den har eksistert lenger. Kall det hva du vil, men begge begrepene er relatert til grensesnittet som brukes for å få tilgang til og endre hovedkortets fastvareinnstillinger.
Hvordan får Moonbounce tilgang til UEFI?
Moonbounce retter seg mot CORE_DXE i fastvaren, og kjører når UEFI-oppstartssekvensen startes. Skadevaren fanger deretter opp visse funksjoner for å implantere seg selv i operativsystemet, og ringer hjem til en kommando- og kontrollserver. Dette resulterer da i at en ondsinnet nyttelast blir levert eksternt, for å nøytralisere systemets sikkerhet.
Angrepet finner sted når en fastvarekomponent modifiseres av skadelig programvare. Hackerne kan bruke den til å spionere på brukere, arkivere filer, samle nettverksinformasjon osv. Interessant nok nevner Kasperskys rapport at den ikke var i stand til å spore infeksjonen på harddisken, noe som betyr at den kjørte i minnet uten å stole på filer.
ANNONSE
UEFI rootkits kan være vanskelig å fjerne siden antivirusprogrammer er ineffektive utenfor operativsystemet, men det er ikke umulig å fjerne slike infeksjoner fra hovedkortet.
Hvordan forhindre UEFI rootkits?
Det er noen få enkle måter å forhindre UEFI-malware som Moonbounce, det første trinnet er å aktivere Secure Boot. Kan dette være grunnen til at Microsoft stilte TPM 2.0 til et krav for Windows 11? Her er en relevant video der en Microsoft-sikkerhetsekspert skisserer viktigheten av UEFI, Secure Boot, TPM, etc., og hvordan de er effektive i å bekjempe skadelig programvare. Å legge til et passord for å få tilgang til UEFI vil blokkere uautoriserte fastvareoppdateringer, og dermed gi deg et ekstra lag med beskyttelse. Hvis du ikke hadde aktivert sikker oppstart eller et passord, dvs. hvis alt går sørover, kan du alltids laste ned UEFI for å bli kvitt den irriterende skadevare. Tips med høflighet: reddit
Gå til hovedkortets (eller bærbare) produsentens nettsted og søk etter den spesifikke modellen du har, sjekk om den har en oppdatert versjon som du kan flashe. Dobbeltsjekk informasjonen for å se om hovedkortmodellen samsvarer med den som er gitt på nettstedet, fordi blinking av feil fastvare kan blokkere systemet ditt. Du bør også unngå å bruke driveroppdateringsprogrammer, og i stedet stole på Windows Updates og leverandørens nettsted for å holde driverne oppdatert.
ANNONSE.