Ακόμη και η αντικατάσταση του σκληρού δίσκου δεν θα αφαιρέσει αυτό το κακόβουλο λογισμικό

Πίνακας περιεχομένων:

Ακόμη και η αντικατάσταση του σκληρού δίσκου δεν θα αφαιρέσει αυτό το κακόβουλο λογισμικό
Ακόμη και η αντικατάσταση του σκληρού δίσκου δεν θα αφαιρέσει αυτό το κακόβουλο λογισμικό
Anonim

Βασικά Takeaways

  • Ερευνητές ασφαλείας ανακάλυψαν ένα μοναδικό κακόβουλο λογισμικό που μολύνει τη μνήμη flash στη μητρική πλακέτα.
  • Το κακόβουλο λογισμικό είναι δύσκολο να αφαιρεθεί και οι ερευνητές δεν έχουν καταλάβει ακόμη πώς εισέρχεται στον υπολογιστή από την αρχή.
  • Το κακόβουλο λογισμικό Bootkit θα συνεχίσει να εξελίσσεται, προειδοποιούν οι ερευνητές.

Image
Image

Η απολύμανση ενός υπολογιστή χρειάζεται λίγη ώρα όπως είναι. Ένα νέο κακόβουλο λογισμικό καθιστά την εργασία ακόμη πιο δύσκολη, καθώς οι ερευνητές ασφαλείας ανακάλυψαν ότι ενσωματώνεται τόσο βαθιά στον υπολογιστή που πιθανότατα θα χρειαστεί να ρίξετε τη μητρική πλακέτα για να την ξεφορτωθείτε.

Μεταγλωττισμένο MoonBounce από τους επιμελητές ασφαλείας της Kaspersky που το ανακάλυψαν, το κακόβουλο λογισμικό, που τεχνικά ονομάζεται bootkit, περνά πέρα από τον σκληρό δίσκο και τρυπώνει στο υλικολογισμικό εκκίνησης Unified Extensible Firmware Interface (UEFI).

"Η επίθεση είναι πολύ περίπλοκη", είπε ο Tomer Bar, Διευθυντής Έρευνας Ασφαλείας στο SafeBreach, στο Lifewire μέσω email. "Από τη στιγμή που το θύμα μολυνθεί, είναι πολύ επίμονο, καθώς ακόμη και η μορφή του σκληρού δίσκου δεν θα βοηθήσει."

Μυθιστόρημα Απειλή

Το Το κακόβουλο λογισμικό Bootkit είναι σπάνιο, αλλά όχι εντελώς νέο, με την ίδια την Kaspersky να έχει ανακαλύψει άλλα δύο τα τελευταία δύο χρόνια. Ωστόσο, αυτό που κάνει το MoonBounce μοναδικό είναι ότι μολύνει τη μνήμη flash που βρίσκεται στη μητρική πλακέτα, καθιστώντας το αδιαπέραστο από λογισμικό προστασίας από ιούς και όλα τα άλλα συνήθη μέσα για την αφαίρεση κακόβουλου λογισμικού.

Στην πραγματικότητα, οι ερευνητές της Kaspersky σημειώνουν ότι οι χρήστες μπορούν να εγκαταστήσουν ξανά το λειτουργικό σύστημα και να αντικαταστήσουν τον σκληρό δίσκο, αλλά το bootkit θα συνεχίσει να παραμένει στον μολυσμένο υπολογιστή έως ότου οι χρήστες αναβοσβήσουν ξανά τη μολυσμένη μνήμη flash, την οποία περιγράφουν ως "μια πολύ περίπλοκη διαδικασία", ή αντικαταστήστε πλήρως τη μητρική πλακέτα.

Image
Image

Αυτό που κάνει το κακόβουλο λογισμικό ακόμα πιο επικίνδυνο, πρόσθεσε ο Bar, είναι ότι το κακόβουλο λογισμικό είναι χωρίς αρχεία, πράγμα που σημαίνει ότι δεν βασίζεται σε αρχεία που μπορούν να επισημάνουν τα προγράμματα προστασίας από ιούς και δεν αφήνει εμφανές αποτύπωμα στον μολυσμένο υπολογιστή, καθιστώντας το πολύ δύσκολο να εντοπιστεί.

Με βάση την ανάλυσή τους για το κακόβουλο λογισμικό, οι ερευνητές της Kaspersky σημειώνουν ότι το MoonBounce είναι το πρώτο βήμα σε μια επίθεση πολλαπλών σταδίων. Οι απατεώνες πίσω από το MoonBounce χρησιμοποιούν το κακόβουλο λογισμικό για να εδραιώσουν τον υπολογιστή του θύματος, το οποίο αντιλαμβάνονται ότι μπορεί στη συνέχεια να χρησιμοποιηθεί για την ανάπτυξη πρόσθετων απειλών για την κλοπή δεδομένων ή την ανάπτυξη ransomware.

Η σωτήρια χάρη, ωστόσο, είναι ότι οι ερευνητές έχουν βρει μόνο μία περίπτωση του κακόβουλου λογισμικού μέχρι τώρα. "Ωστόσο, είναι ένα πολύ εξελιγμένο σύνολο κώδικα, το οποίο είναι ανησυχητικό. Αν μη τι άλλο, προαναγγέλλει την πιθανότητα άλλου, προηγμένου κακόβουλου λογισμικού στο μέλλον", προειδοποίησε ο Tim Helming, ευαγγελιστής ασφαλείας με το DomainTools, το Lifewire μέσω email.

Η Therese Schachner, σύμβουλος ασφάλειας στον κυβερνοχώρο στο VPNBrains συμφώνησε. "Δεδομένου ότι το MoonBounce είναι ιδιαίτερα κρυφό, είναι πιθανό να υπάρχουν επιπλέον περιπτώσεις επιθέσεων MoonBounce που δεν έχουν ακόμη ανακαλυφθεί."

Εμβολιάστε τον υπολογιστή σας

Οι ερευνητές σημειώνουν ότι το κακόβουλο λογισμικό εντοπίστηκε μόνο επειδή οι εισβολείς έκαναν το λάθος να χρησιμοποιήσουν τους ίδιους διακομιστές επικοινωνίας (τεχνικά γνωστούς ως διακομιστές εντολών και ελέγχου) με ένα άλλο γνωστό κακόβουλο λογισμικό.

Ωστόσο, ο Helming πρόσθεσε ότι εφόσον δεν είναι προφανές πώς λαμβάνει χώρα η αρχική μόλυνση, είναι σχεδόν αδύνατο να δοθούν πολύ συγκεκριμένες οδηγίες για το πώς να αποφευχθεί η μόλυνση. Ωστόσο, η τήρηση των καλά αποδεκτών βέλτιστων πρακτικών ασφάλειας είναι μια καλή αρχή.

Ενώ το ίδιο το κακόβουλο λογισμικό εξελίσσεται, οι βασικές συμπεριφορές που πρέπει να αποφεύγει ο μέσος χρήστης για να προστατευθεί δεν έχουν αλλάξει πραγματικά. Η ενημέρωση του λογισμικού, ειδικά του λογισμικού ασφαλείας, είναι σημαντική. Η αποφυγή κλικ σε ύποπτους συνδέσμους παραμένει μια καλή στρατηγική», πρότεινε στο Lifewire ο Tim Erlin, αντιπρόεδρος στρατηγικής στο Tripwire, μέσω email.

… είναι πιθανό να υπάρχουν επιπλέον περιπτώσεις επιθέσεων MoonBounce που δεν έχουν ακόμη ανακαλυφθεί.

Προσθέτοντας σε αυτήν την πρόταση, ο Stephen Gates, Ευαγγελιστής ασφαλείας στο Checkmarx, είπε στο Lifewire μέσω email ότι ο μέσος χρήστης επιτραπέζιου υπολογιστή πρέπει να υπερβεί τα παραδοσιακά εργαλεία προστασίας από ιούς, τα οποία δεν μπορούν να αποτρέψουν επιθέσεις χωρίς αρχεία, όπως το MoonBounce.

"Αναζητήστε εργαλεία που μπορούν να αξιοποιήσουν τον έλεγχο σεναρίων και την προστασία μνήμης και προσπαθήστε να χρησιμοποιήσετε εφαρμογές από οργανισμούς που χρησιμοποιούν ασφαλείς, σύγχρονες μεθοδολογίες ανάπτυξης εφαρμογών, από το κάτω μέρος της στοίβας μέχρι την κορυφή", πρότεινε ο Gates.

Image
Image

Ο Bar, από την άλλη πλευρά, υποστήριξε τη χρήση τεχνολογιών, όπως το SecureBoot και το TPM, για να επαληθευτεί ότι το υλικολογισμικό εκκίνησης δεν έχει τροποποιηθεί ως αποτελεσματική τεχνική μετριασμού έναντι κακόβουλου λογισμικού bootkit.

Ο Schachner, σε παρόμοιες γραμμές, πρότεινε ότι η εγκατάσταση ενημερώσεων υλικολογισμικού UEFI καθώς κυκλοφορούν θα βοηθήσει τους χρήστες να ενσωματώσουν διορθώσεις ασφαλείας που προστατεύουν καλύτερα τους υπολογιστές τους από αναδυόμενες απειλές όπως το MoonBounce.

Επιπλέον, συνέστησε επίσης τη χρήση πλατφορμών ασφαλείας που ενσωματώνουν ανίχνευση απειλών υλικολογισμικού. "Αυτές οι λύσεις ασφαλείας επιτρέπουν στους χρήστες να ενημερώνονται για πιθανές απειλές υλικολογισμικού το συντομότερο δυνατό, ώστε να μπορούν να αντιμετωπιστούν έγκαιρα πριν οι απειλές κλιμακωθούν."

Συνιστάται: