Isegi kõvaketta vahetamine ei eemalda seda pahavara

January 25, 2022
SisseUudised Interneti Turvalisus

Võtmed kaasavõtmiseks

Turvauurijad avastasid ainulaadse pahavara, mis nakatab emaplaadi välkmälu.
Pahavara on raske eemaldada ja teadlased ei mõista veel, kuidas see üldse arvutisse satub.
Bootkiti pahavara areneb edasi, hoiatavad teadlased.

Vana 3,5-tolline kõvaketas põrandal — John Caezar Panelo / Getty Images

Arvuti desinfitseerimine nõuab teatud tegevust. Uus pahavara muudab ülesande veelgi kohmakamaks, kuna turvauurijad on selle avastanud põimib end nii sügavale arvutisse, et ilmselt pead lahti saamiseks emaplaadi kokku tõmbama sellest.

Dubleeritud MoonBounce selle avastanud Kaspersky turvaotsijad läbivad pahavara, mida tehniliselt nimetatakse algkomplektiks. kõvakettast kaugemale ja urgitseb end arvuti ühtse laiendatava püsivara liidese (UEFI) alglaadimisse püsivara.

"Rünnak on väga keerukas," Tomeri baar, turvauuringute direktor aadressil SafeBreach, ütles Lifewire'ile meili teel. "Kui ohver on nakatunud, on see väga püsiv, sest isegi kõvaketta vorming ei aita."

Romaaniline oht

Bootkiti pahavara on haruldane, kuid mitte täiesti uus, kuna Kaspersky ise on viimase paari aasta jooksul avastanud kaks teist. MoonBounce'i teeb aga ainulaadseks see, et see nakatab emaplaadil asuva välkmälu, muutes selle viirusetõrjetarkvara ja kõigi muude tavaliste pahavara eemaldamise vahendite suhtes läbitungimatuks.

Tegelikult märgivad Kaspersky teadlased, et kasutajad saavad operatsioonisüsteemi uuesti installida ja kõvaketta asendada, kuid alglaadimiskomplekt jääb endiselt sisse. nakatunud arvutisse seni, kuni kasutajad kas nakatunud välkmälu uuesti välgutavad, mida nad kirjeldavad kui "väga keerukat protsessi" või vahetavad emaplaadi täielikult.

Hunnik arvuti emaplaate — Manfred Rutz / Getty Images

Pahavara teeb veelgi ohtlikumaks, lisas Bar, see, et pahavara on failivaba, mis tähendab, et see ei tugine failidele et viirusetõrjeprogrammid võivad märgistada ega jäta nakatunud arvutisse nähtavat jalajälge, muutes selle väga keeruliseks jälg.

Pahavara analüüsile tuginedes märgivad Kaspersky teadlased, et MoonBounce on mitmeastmelise rünnaku esimene samm. MoonBounce'i taga olevad petturid kasutavad pahavara ohvrite tugipunkti loomiseks arvuti, mida nad mõistavad, saab seejärel kasutada täiendavate ohtude juurutamiseks andmete varastamiseks või juurutamiseks lunavara.

Päästev arm on aga see, et teadlased on siiani leidnud ainult ühe pahavara eksemplari. "Kuid see on väga keerukas koodikomplekt, mis on murettekitav; kui mitte midagi muud, siis kuulutab see muu, arenenud pahavara tõenäosust tulevikus. Tim Helming, turvaevangelist koos Domeenitööriistad, hoiatas Lifewire meili teel.

Therese Schachner, küberturvalisuse konsultant aadressil VPNBrains nõus. "Kuna MoonBounce on eriti varjatud, on võimalik, et on veel MoonBounce'i rünnakuid, mida pole veel avastatud."

Inokuleerige oma arvuti

Teadlased märgivad, et pahavara tuvastati vaid seetõttu, et ründajad tegid kasutades vea samad sideserverid (tehniliselt tuntud kui käsu- ja juhtimisserverid) kui teised tuntud pahavara.

Helming lisas aga, et kuna pole selge, kuidas esmane nakatumine toimub, on praktiliselt võimatu anda väga konkreetseid juhiseid, kuidas nakatumist vältida. Hästi aktsepteeritud turvalisuse parimate tavade järgimine on siiski hea algus.

"Kuigi pahavara ise areneb, pole põhilised käitumisviisid, mida tavakasutaja peaks enda kaitsmiseks vältima, tegelikult muutunud. Tarkvara, eriti turvatarkvara ajakohasena hoidmine on oluline. Kahtlastel linkidel klõpsamise vältimine on endiselt hea strateegia. Tim Erlin, strateegia asepresident Tripwire, soovitati Lifewire'ile meili teel.

"... Võimalik, et on veel MoonBounce'i rünnakuid, mida pole veel avastatud."

Sellele soovitusele lisades, Stephen Gates, Julgeolekuevangelist aadressil Checkmarx, ütles Lifewire'ile meili teel, et keskmine lauaarvuti kasutaja peab minema kaugemale traditsioonilistest viirusetõrjevahenditest, mis ei suuda ära hoida failita ründeid, nagu MoonBounce.

"Otsige tööriistu, mis võivad skripti juhtimist ja mälukaitset kasutada, ning proovige kasutada organisatsioonide rakendusi mis kasutavad turvalisi ja kaasaegseid rakenduste arendusmetoodikaid virna alumisest ülaosast ülaossa," Gates soovitas.

Pahavara tuvastatud hoiatuskuva abstraktse kahendkoodiga — Olemedia / Getty Images

Bar seevastu pooldas tehnoloogiate kasutamist, nagu SecureBoot ja TPM, et kontrollida, kas alglaadimispüsivara pole tõhusaks bootkiti pahavara vastu võitlemiseks muudetud.

Schachner soovitas sarnasel viisil, et UEFI püsivara värskenduste installimine nende väljalaskmisel aitab kasutajad lisavad turvaparandusi, mis kaitsevad nende arvuteid paremini selliste esilekerkivate ohtude eest nagu MoonBounce.

Lisaks soovitas ta kasutada turvaplatvorme, mis sisaldavad püsivaraohu tuvastamist. "Need turvalahendused võimaldavad kasutajaid võimalikult kiiresti teavitada võimalikest püsivaraohtudest, et nendega saaks õigeaegselt tegeleda, enne kui ohud eskaleeruvad."