Ani výměna pevného disku tento malware neodstraní

January 25, 2022
VZprávy Internetová Bezpečnost

Klíčové věci

Bezpečnostní výzkumníci objevili unikátní malware, který infikuje flash paměť na základní desce.
Malware je obtížné odstranit a výzkumníci zatím nechápou, jak se vůbec dostane do počítače.
Bootkit malware se bude nadále vyvíjet, varují výzkumníci.

Starý 3,5palcový pevný disk na podlaze — John Caezar Panelo / Getty Images

Dezinfekce počítače vyžaduje určitou práci tak, jak je. Díky novému malwaru je tento úkol ještě obtížnější, protože jej objevili bezpečnostní výzkumníci se zapustí tak hluboko do počítače, že budete pravděpodobně muset zahodit základní desku, abyste se ho zbavili toho.

Dabované MoonBounce bezpečnostními detektivy z Kaspersky, kteří jej objevili, malware, odborně nazývaný bootkit, prochází za pevným diskem a zanoří se do spouštěcího systému Unified Extensible Firmware Interface (UEFI) počítače firmware.

"Útok je velmi sofistikovaný," Tomer Bar, ředitel bezpečnostního výzkumu ve společnosti SafeBreach, řekl Lifewire e-mailem. "Jakmile je oběť infikována, je velmi perzistentní, protože ani formát pevného disku nepomůže."

Románová hrozba

Bootkit malware je vzácný, ale ne zcela nový, přičemž sám Kaspersky v posledních několika letech objevil dva další. Nicméně, co dělá MoonBounce jedinečným, je to, že infikuje flash paměť umístěnou na základní desce, takže je nepropustná pro antivirový software a všechny ostatní obvyklé prostředky k odstranění malwaru.

Ve skutečnosti výzkumníci společnosti Kaspersky poznamenávají, že uživatelé mohou přeinstalovat operační systém a vyměnit pevný disk, ale bootkit zůstane i nadále zapnutý. infikovaný počítač, dokud uživatelé buď znovu neflashují infikovanou flash paměť, což popisují jako „velmi složitý proces“, nebo nevyměňují základní desku zcela.

Hromada základních desek počítačů — Manfred Rutz / Getty Images

Co dělá malware ještě nebezpečnějším, dodal Bar, je to, že malware je bez souborů, což znamená, že se nespoléhá na soubory. že antivirové programy mohou označovat a nezanechávají na infikovaném počítači žádné zjevné stopy, takže je velmi obtížné stopa.

Na základě analýzy malwaru výzkumníci Kaspersky poznamenávají, že MoonBounce je prvním krokem ve vícefázovém útoku. Nečestní herci za MoonBounce používají malware k vytvoření oporu v oběti počítač, o kterém si uvědomí, že jej lze použít k nasazení dalších hrozeb ke krádeži dat nebo jejich nasazení ransomware.

Záchranou však je, že výzkumníci dosud našli pouze jeden výskyt malwaru. „Je to však velmi sofistikovaná sada kódu, což znepokojuje; pokud nic jiného, předznamenává to pravděpodobnost dalšího pokročilého malwaru v budoucnosti,“ Tim Helming, bezpečnostní evangelista s DomainTools, varoval Lifewire e-mailem.

Tereze Schachnerové, konzultant pro kybernetickou bezpečnost ve společnosti VPNBrains souhlasil. "Vzhledem k tomu, že MoonBounce je obzvláště tajný, je možné, že existují další případy útoků MoonBounce, které dosud nebyly objeveny."

Naočkujte svůj počítač

Výzkumníci poznamenávají, že malware byl detekován pouze proto, že útočníci udělali chybu při použití stejné komunikační servery (technicky známé jako příkazové a řídicí servery) jako jiné známé malware.

Helming však dodal, že protože není zřejmé, jak prvotní infekce probíhá, je prakticky nemožné dát velmi konkrétní pokyny, jak se nákaze vyhnout. Dobrým začátkem je však dodržování dobře přijímaných osvědčených bezpečnostních postupů.

„Zatímco samotný malware postupuje, základní chování, kterému by se měl průměrný uživatel vyhnout, aby se ochránil, se ve skutečnosti nezměnilo. Udržování aktuálního softwaru, zejména bezpečnostního softwaru, je důležité. Vyhýbání se klikání na podezřelé odkazy zůstává dobrou strategií,“ Tim Erlin, viceprezident pro strategii at Tripwire, navrhl Lifewire e-mailem.

"... je možné, že existují další případy útoků MoonBounce, které dosud nebyly objeveny."

K tomuto návrhu přidáme, Stephen Gates, Security Evangelist at Checkmarx, řekl Lifewire e-mailem, že průměrný uživatel stolního počítače musí jít nad rámec tradičních antivirových nástrojů, které nemohou zabránit útokům bez souborů, jako je MoonBounce.

„Hledejte nástroje, které mohou využít ovládání skriptů a ochranu paměti, a zkuste použít aplikace od organizací které využívají bezpečné, moderní metodologie vývoje aplikací, od spodní části zásobníku až po vrchol,“ Gates navrhl.

Varovná obrazovka zjištěný malware s abstraktním binárním kódem — Olemedia / Getty Images

Bar naopak prosazoval používání technologií, jako je kupř SecureBoot a TPM, abyste ověřili, že zaváděcí firmware nebyl upraven jako účinná technika zmírnění malwaru bootkit.

Schachner na podobných řádcích navrhl, že pomůže instalace aktualizací firmwaru UEFI, jakmile budou vydány uživatelé začleňují bezpečnostní opravy, které lépe chrání jejich počítače před novými hrozbami, jako jsou např MoonBounce.

Dále také doporučila používat bezpečnostní platformy, které zahrnují detekci hrozeb firmwaru. "Tato bezpečnostní řešení umožňují uživatelům být informováni o potenciálních firmwarových hrozbách co nejdříve, aby je bylo možné řešit včas, než se hrozby vystupňují."