Что такое UEFI-руткит ‘LoJax’, разработанный российскими хакерами?
Безопасность

Что такое UEFI-руткит ‘LoJax’, разработанный российскими хакерами?

Антивирусные программы не защитят вас от заражения руткитом, так что же делать с новой инфекцией LoJax?

Руткит – это особенно опасный тип вредоносного ПО. Обычная’ вредоносная программа загружается при входе в операционную систему. Это все еще плохая ситуация, но приличный антивирус должен удалить вредоносную программу и очистить вашу систему

И наоборот, руткит устанавливается в прошивку системы и позволяет устанавливать вредоносную полезную нагрузку при каждой перезагрузке системы

Исследователи безопасности обнаружили в природе новый вариант руткита под названием LoJax. Что отличает этот руткит от других? Он может заражать современные системы на базе UEFI, а не старые системы на базе BIOS. И это является проблемой

Руткит LoJax UEFI

Компания ESET Research опубликовала исследовательскую работу, в которой подробно описывается LoJax, недавно обнаруженный руткит (что такое руткит?), который успешно перепрофилирует одноименное коммерческое программное обеспечение.(Хотя исследовательская группа окрестила вредоносное ПО ‘LoJax’, подлинное программное обеспечение называется ‘LoJack’)

В дополнение к угрозе, LoJax может пережить полную переустановку Windows и даже замену жесткого диска

Вредоносная программа выживает, атакуя систему загрузки прошивки UEFI. Другие руткиты могут прятаться в драйверах или загрузочных секторах, в зависимости от их кодировки и намерений злоумышленника.LoJax проникает в прошивку системы и заражает систему еще до загрузки ОС

Пока известен только один способ полного удаления вредоносной программы LoJax – прошивка новой микропрограммы на подозрительную систему. Прошивка прошивки – это не то, с чем большинство пользователей имеют опыт работы. Хотя это проще, чем в прошлом, все еще существует значительная вероятность того, что прошивка пойдет не так, как нужно, что может привести к окирпичиванию компьютера

Как работает руткит LoJax?

LoJax использует перепакованную версию противоугонного программного обеспечения LoJack от Absolute Software. Оригинальный инструмент предназначен для сохранения работоспособности при стирании системы или замене жесткого диска, чтобы владелец лицензии мог отследить украденное устройство. Причины, по которым инструмент так глубоко проникает в компьютер, вполне законны, и именно за эти качества LoJack до сих пор является популярным средством защиты от краж

Учитывая, что в США 97 процентов украденных ноутбуков никогда не возвращаются, понятно, что пользователи хотят дополнительной защиты для такого дорогого вложения

LoJax использует драйвер ядра RwDrv.sys для доступа к настройкам BIOS/UEFI. Драйвер ядра поставляется в комплекте с RWEverything, легитимным инструментом, используемым для чтения и анализа низкоуровневых настроек компьютера (биты, к которым у вас обычно нет доступа). В процессе заражения руткитом LoJax участвовали еще три инструмента:

  • Первый инструмент сбрасывает информацию о низкоуровневых настройках системы (скопированную из RWEverything) в текстовый файл. Для обхода системной защиты от вредоносных обновлений прошивки требуется знание системы.
  • Второй инструмент ‘сохраняет образ прошивки системы в файл, считывая содержимое флэш-памяти SPI’. Во флэш-памяти SPI находится UEFI/BIOS.
  • Третий инструмент добавляет вредоносный модуль в образ прошивки, а затем записывает его обратно во флэш-память SPI.

.

Если LoJax понимает, что флэш-память SPI защищена, он использует известную уязвимость (CVE-2014-8273) для доступа к ней, затем продолжает и записывает руткит в память

Откуда взялся LoJax?

Команда ESET Research считает, что LoJax – это работа печально известной российской хакерской группы Fancy Bear/Sednit/Strontium/APT28. Эта хакерская группа ответственна за несколько крупных атак в последние годы

LoJax использует те же командные и управляющие серверы, что и SedUploader – еще одна вредоносная программа с бэкдором от Sednit.LoJax также содержит ссылки и следы других вредоносных программ Sednit, включая XAgent (еще один инструмент бэкдора) и XTunnel (инструмент безопасного сетевого прокси)

Кроме того, исследование ESET показало, что операторы вредоносного ПО ‘использовали различные компоненты вредоносной программы LoJax для атак на несколько правительственных организаций на Балканах, а также в Центральной и Восточной Европе’

LoJax – не первый UEFI-руткит

Новость о LoJax, безусловно, заставила мир безопасности прислушаться и обратить внимание. Однако это не первый руткит UEFI.Hacking Team (вредоносная группа, если вам интересно) использовала руткит UEFI/BIOS еще в 2015 году, чтобы держать системный агент удаленного управления установленным на целевых системах

Основное отличие руткита The Hacking Team UEFI от LoJax заключается в способе доставки. В то время исследователи безопасности полагали, что для установки инфекции на уровне прошивки команде хакеров необходим физический доступ к системе. Конечно, если у кого-то есть прямой доступ к вашему компьютеру, он может делать все, что захочет. Тем не менее, руткит UEFI особенно опасен

Подвержена ли ваша система риску заражения LoJax?

Современные системы на базе UEFI имеют несколько явных преимуществ по сравнению со старыми аналогами на базе BIOS

Во-первых, они новее. Новое оборудование – это не все и не всегда, но оно облегчает многие вычислительные задачи

Во-вторых, UEFI-прошивка имеет несколько дополнительных функций безопасности. Особенно следует отметить Secure Boot, которая позволяет запускать только программы с подписанной цифровой подписью

Если эта функция отключена и вы столкнетесь с руткитом, вам придется несладко.Secure Boot – особенно полезный инструмент в эпоху вымогательского ПО. Посмотрите следующее видео о том, как Secure Boot справляется с чрезвычайно опасной программой NotPetya ransomware:

NotPetya зашифровал бы все на целевой системе, если бы Secure Boot был отключен

LoJax – это совсем другое чудовище. Вопреки предыдущим сообщениям, даже Secure Boot не может остановить LoJax. Очень важно следить за актуальностью прошивки UEFI. Существуют также некоторые специализированные средства защиты от руткитов, но неизвестно, могут ли они защитить от LoJax

Однако, как и для многих угроз такого уровня, ваш компьютер является главной мишенью. Передовые вредоносные программы в основном нацелены на цели высокого уровня. Кроме того, LoJax имеет признаки участия угрожающих субъектов национального государства; еще одна большая вероятность того, что LoJax не затронет вас в краткосрочной перспективе. Тем не менее, вредоносное ПО имеет свойство просачиваться в мир. Если киберпреступники заметят успешное использование LoJax, он может стать более распространенным в регулярных атаках вредоносного ПО

Как всегда, поддержание системы в актуальном состоянии – один из лучших способов защиты. Подписка на Malwarebytes Premium также является отличным подспорьем

Об авторе

Алексей Белоусов

Привет, меня зовут Филипп. Я фрилансер энтузиаст . В свободное время занимаюсь переводом статей и пишу о потребительских технологиях для широкого круга изданий , не переставая питать большую страсть ко всему мобильному =)

Комментировать

Оставить комментарий