Qual è il rootkit UEFI “LoJax” sviluppato da hacker russi?

lojax-rootkit

Un rootkit è un tipo di malware particolarmente cattivo. Un'infezione da malware "normale" viene caricata quando si accede al sistema operativo. È ancora una brutta situazione, ma un antivirus decente dovrebbe rimuovere il malware e ripulire il sistema.

Al contrario, un rootkit viene installato sul firmware del sistema e consente l'installazione di un payload dannoso ogni volta che si riavvia il sistema.

I ricercatori di sicurezza hanno individuato una nuova variante di rootkit in natura, denominata LoJax. Cosa distingue questo rootkit dagli altri? Bene, può infettare i moderni sistemi basati su UEFI, piuttosto che i vecchi sistemi basati su BIOS. E questo è un problema.

Il rootkit LoJax UEFI

ESET Research ha pubblicato un documento di ricerca che descrive LoJax, un rootkit appena scoperto ( cos'è un rootkit? ) Che rielabora con successo un software commerciale con lo stesso nome. (Sebbene il team di ricerca abbia battezzato il malware "LoJax", il vero software è denominato "LoJack".)

In aggiunta alla minaccia, LoJax può sopravvivere a una completa reinstallazione di Windows e persino alla sostituzione del disco rigido.

Il malware sopravvive attaccando il sistema di avvio del firmware UEFI. Altri rootkit possono nascondersi nei driver o nei settori di avvio , a seconda della codifica e dell'intento dell'aggressore. LoJax si aggancia al firmware del sistema e reinfetta il sistema prima che il sistema operativo carichi anche.

Al momento, l'unico metodo noto per rimuovere completamente il malware LoJax è il nuovo firmware che lampeggia sul sistema sospetto . Un flash firmware non è qualcosa con cui molti utenti hanno esperienza. Mentre è più facile che in passato, c'è ancora un significativo lampeggiare che un firmware andrà storto, potenzialmente danneggiando la macchina in questione.

Come funziona LoJax Rootkit?

LoJax utilizza una versione riconfezionata del software antifurto LoJack di Absolute Software. Lo strumento originale è pensato per essere persistente durante la cancellazione del disco rigido o del disco rigido in modo che il licenziatario possa rintracciare un dispositivo rubato. Le ragioni dello strumento che scava così in profondità nel computer sono abbastanza legittime, e LoJack è ancora un popolare prodotto antifurto per queste qualità esatte.

Dato che, negli Stati Uniti, il 97% dei laptop rubati non viene mai recuperato , è comprensibile che gli utenti desiderino una protezione extra per un investimento così costoso.

LoJax utilizza un driver del kernel, RwDrv.sys , per accedere alle impostazioni del BIOS / UEFI. Il driver del kernel è in bundle con RWEverything, uno strumento legittimo utilizzato per leggere e analizzare le impostazioni del computer di basso livello (bit a cui normalmente non si ha accesso). C'erano altri tre strumenti nel processo di infezione del rootkit LoJax:

  • Il primo strumento scarica informazioni sulle impostazioni di sistema di basso livello (copiate da RWEverything) in un file di testo. Bypassare la protezione del sistema dagli aggiornamenti dannosi del firmware richiede conoscenza del sistema.
  • Il secondo strumento "salva un'immagine del firmware di sistema in un file leggendo il contenuto della memoria flash SPI". La memoria flash SPI ospita UEFI / BIOS.
  • Un terzo strumento aggiunge il modulo dannoso all'immagine del firmware, quindi lo scrive nuovamente nella memoria flash SPI.

Se LoJax si rende conto che la memoria flash SPI è protetta, sfrutta una vulnerabilità nota ( CVE-2014-8273 ) per accedervi, quindi continua e scrive il rootkit in memoria.

Da dove è arrivato LoJax?

Il team di ricerca ESET ritiene che LoJax sia il lavoro del famigerato gruppo russo di hacker Fancy Bear / Sednit / Strontium / APT28. Il gruppo di hacker è responsabile di numerosi attacchi importanti negli ultimi anni.

LoJax utilizza gli stessi server di comando e controllo di SedUploader, un altro malware backdoor di Sednit. LoJax ha anche collegamenti e tracce di altri malware Sednit, tra cui XAgent (un altro strumento di backdoor) e XTunnel (uno strumento di proxy di rete sicuro).

Inoltre, la ricerca ESET ha scoperto che gli operatori di malware "utilizzavano componenti diversi del malware LoJax per rivolgersi a poche organizzazioni governative nei Balcani e nell'Europa centrale e orientale".

LoJax non è il primo rootkit UEFI

La notizia di LoJax ha sicuramente fatto sì che il mondo della sicurezza si sedesse e prendesse nota. Tuttavia, non è il primo rootkit UEFI. L'Hacking Team (un gruppo malevolo, nel caso ve lo stavate chiedendo) stava usando un rootkit UEFI / BIOS nel 2015 per mantenere un agente di sistema di controllo remoto installato sui sistemi di destinazione.

La principale differenza tra il rootkit UEFI di Hacking Team e LoJax è il metodo di consegna. All'epoca, i ricercatori della sicurezza pensavano che The Hacking Team richiedesse l'accesso fisico a un sistema per installare l'infezione a livello di firmware. Ovviamente, se qualcuno ha accesso diretto al tuo computer, può fare quello che vuole. Tuttavia, il rootkit UEFI è particolarmente cattivo.

Il tuo sistema è a rischio da LoJax?

I moderni sistemi basati su UEFI presentano numerosi e distinti vantaggi rispetto ai loro omologhi basati su BIOS precedenti.

Per uno, sono più recenti. Il nuovo hardware non è il tutto e finisce, ma rende più facili le attività di elaborazione.

In secondo luogo, il firmware UEFI ha anche alcune funzionalità di sicurezza aggiuntive. Di particolare rilievo è Secure Boot, che consente l'esecuzione solo di programmi con firma digitale firmata .

Se questo è disattivato e incontri un rootkit, avrai un brutto momento. Secure Boot è uno strumento particolarmente utile anche nell'attuale era del ransomware. Guarda il seguente video di Secure Boot che si occupa del pericoloso ransomware NotPetya:

NotPetya avrebbe crittografato tutto sul sistema di destinazione se Secure Boot fosse stato disattivato.

LoJax è un tipo di bestia completamente diverso. Contrariamente ai precedenti rapporti, anche Secure Boot non può fermare LoJax . Mantenere aggiornato il firmware UEFI è estremamente importante. Esistono anche alcuni strumenti anti-rootkit specializzati , ma non è chiaro se possono proteggersi contro LoJax.

Tuttavia, come molte minacce con questo livello di capacità, il tuo computer è un obiettivo primario. Il malware avanzato si concentra principalmente su obiettivi di alto livello. Inoltre, LoJax ha le indicazioni del coinvolgimento degli attori delle minacce a livello nazionale; un'altra forte possibilità LoJax non ti influenzerà nel breve periodo. Detto questo, il malware ha un modo di filtrare nel mondo. Se i criminali informatici individuano l'uso di successo di LoJax, potrebbe diventare più comune nei normali attacchi di malware.

Come sempre, mantenere aggiornato il tuo sistema è uno dei modi migliori per proteggere il tuo sistema. Anche un abbonamento Malwarebytes Premium è di grande aiuto.

Leggi l'articolo completo: Che cos'è il rootkit UEFI "LoJax" sviluppato dagli hacker russi?

Fonte: makeuseof.com

Precedente Come registrare o riprodurre lo schermo del computer utilizzando OBS Studio Successivo La ditta P.R. di Snapchat ha citato in giudizio un influencer per non aver influenzato

Rispondi