O que é o rootkit UEFI “LoJax” desenvolvido por hackers russos?

Um rootkit é um tipo de malware particularmente desagradável. Uma infecção de malware “regular” é carregada quando você entra no sistema operacional. Ainda é uma situação ruim, mas um antivírus decente deve remover o malware e limpar seu sistema.

Por outro lado, um rootkit é instalado no firmware do sistema e permite a instalação de uma carga maliciosa toda vez que você reinicializa o sistema.

Pesquisadores de segurança identificaram uma nova variante de rootkit na natureza, chamada LoJax. O que diferencia este rootkit dos outros? Bem, isso pode infectar sistemas modernos baseados em UEFI, em vez de sistemas baseados em BIOS mais antigos. E isso é um problema.

O LoJax UEFI Rootkit

A ESET Research publicou um trabalho de pesquisa que detalha o LoJax, um rootkit recentemente descoberto (o que é um rootkit? ) Que refeta com sucesso um software comercial de mesmo nome. (Embora a equipe de pesquisa tenha batizado o malware “LoJax”, o software original é chamado de “LoJack”.)

Além da ameaça, o LoJax pode sobreviver a uma reinstalação completa do Windows e até à substituição do disco rígido.

O malware sobrevive atacando o sistema de inicialização do firmware UEFI. Outros rootkits podem se esconder em drivers ou setores de inicialização , dependendo da codificação e da intenção do invasor. O LoJax conecta-se ao firmware do sistema e infecta novamente o sistema antes que o sistema operacional seja carregado.

Até agora, o único método conhecido para remover completamente o malware LoJax é o novo firmware em flash sobre o sistema suspeito . Um flash de firmware não é algo com que a maioria dos usuários tenha experiência. Embora seja mais fácil do que no passado, ainda é significativo que a atualização de um firmware esteja errada, potencialmente prejudicando a máquina em questão.

Como funciona o rootkit LoJax?

O LoJax usa uma versão reembalada do software anti-roubo LoJack da Absolute Software. A ferramenta original deve ser persistente em toda a limpeza do sistema ou substituição de disco rígido, para que o licenciado possa rastrear um dispositivo roubado. As razões para a ferramenta penetrar tão profundamente no computador são bastante legítimas, e o LoJack ainda é um produto anti-roubo popular para essas qualidades exatas.

Dado que, nos EUA, 97% dos laptops roubados nunca são recuperados , é compreensível que os usuários desejem proteção extra para um investimento tão caro.

O LoJax usa um driver de kernel, o RwDrv.sys , para acessar as configurações do BIOS / UEFI. O driver do kernel é empacotado com o RWEverything, uma ferramenta legítima usada para ler e analisar configurações de computador de baixo nível (bits aos quais você normalmente não tem acesso). Havia outras três ferramentas no processo de infecção por rootkit LoJax:

  • A primeira ferramenta copia informações sobre as configurações do sistema de baixo nível (copiadas do RWEverything) para um arquivo de texto. Ignorar a proteção do sistema contra atualizações de firmware maliciosas exige conhecimento do sistema.
  • A segunda ferramenta “salva uma imagem do firmware do sistema em um arquivo lendo o conteúdo da memória flash SPI”. A memória flash SPI hospeda o UEFI / BIOS.
  • Uma terceira ferramenta adiciona o módulo malicioso à imagem do firmware e grava-o de volta na memória flash SPI.

Se o LoJax perceber que a memória flash SPI está protegida, ele explora uma vulnerabilidade conhecida ( CVE-2014-8273 ) para acessá-la, depois continua e grava o rootkit na memória.

De onde o LoJax veio?

A equipe de pesquisa da ESET acredita que o LoJax é o trabalho do infame grupo de hackers russo Fancy Bear / Sednit / Strontium / APT28. O grupo de hackers é responsável por vários grandes ataques nos últimos anos.

O LoJax usa os mesmos servidores de comando e controle que o SedUploader, outro malware backdoor da Sednit. O LoJax também possui links e rastreios de outros malwares do Sednit, incluindo o XAgent (outra ferramenta de backdoor) e o XTunnel (uma ferramenta de proxy de rede segura).

Além disso, a pesquisa da ESET descobriu que os operadores de malware “usavam diferentes componentes do malware LoJax para atingir algumas organizações governamentais nos Bálcãs, bem como na Europa Central e Oriental”.

LoJax não é o primeiro rootkit UEFI

As notícias do LoJax certamente fizeram com que o mundo da segurança sentasse e tomasse nota. No entanto, este não é o primeiro rootkit da UEFI. A Equipe de Hackers (um grupo malicioso, caso você esteja se perguntando) estava usando um rootkit UEFI / BIOS em 2015 para manter um agente do sistema de controle remoto instalado nos sistemas de destino.

A principal diferença entre o rootkit UEFI do Hacking Team e o LoJax é o método de entrega. Na época, os pesquisadores de segurança acharam que o Hacking Team exigia acesso físico a um sistema para instalar a infecção no nível do firmware. Claro, se alguém tem acesso direto ao seu computador, eles podem fazer o que quiserem. Ainda assim, o rootkit UEFI é especialmente desagradável.

O seu sistema está em risco com o LoJax?

Os modernos sistemas baseados em UEFI têm várias vantagens distintas sobre suas contrapartes antigas baseadas em BIOS.

Por um lado, eles são mais novos. O novo hardware não é tudo e acaba com tudo, mas facilita muitas tarefas de computação.

Em segundo lugar, o firmware UEFI também possui alguns recursos de segurança adicionais. Particularmente notável é o Secure Boot, que permite apenas que programas com assinatura digital assinada sejam executados .

Se isso estiver desativado e você encontrar um rootkit, você terá um mau momento. Secure Boot é uma ferramenta particularmente útil na era atual do ransomware também. Confira o seguinte vídeo do Secure Boot lidando com o extremamente perigoso ransomware NotPetya:

O NotPetya teria criptografado tudo no sistema de destino se o Secure Boot tivesse sido desligado.

LoJax é um tipo diferente de animal completamente. Ao contrário dos relatórios anteriores, mesmo o Secure Boot não pode parar o LoJax . Manter o seu firmware UEFI atualizado é extremamente importante. Também existem algumas ferramentas especializadas anti-rootkit , mas não está claro se elas podem proteger contra o LoJax.

Informações via www.makeuseof.com


Mais da metade dos menores de 10 anos cria regularmente conteúdo de vídeo

Um estudo da Beano Studios descobriu que mais da metade (55%) de pessoas com menos…

Como remover o “Vírus” do Bing Redirect

No caso do seu mecanismo de pesquisa continuar mudando para o Bing.com mesmo quando você…

Ataques de injeção de SQL representam dois terços de todos os ataques de aplicativos da Web

Quando os ataques de Inclusão de Arquivos Locais são contados, quase nove em cada 10…

Erros de script entre sites continuam a ser a falha mais comum do aplicativo Web

Os erros de cross-site scripting (XSS) que permitem que invasores injetem códigos maliciosos em sites…

Vodafone escolhe Espanha para estreia da sua rede 5G

A Vodafone escolheu a Espanha como cenário para sua estreia em 5G, com o lançamento…

VLC Player: popular media player recebe 33 correções de erros de segurança

O popular media player recebe 33 correções de erros de segurança, duas das quais são…

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *