Edes kiintolevyn vaihtaminen ei poista tätä haittaohjelmaa

January 25, 2022
SisäänUutiset Internet Turvallisuus

Avaimet takeawayt

Tietoturvatutkijat ovat löytäneet ainutlaatuisen haittaohjelman, joka saastuttaa emolevyn flash-muistin.
Haittaohjelma on vaikea poistaa, eivätkä tutkijat vielä ymmärrä, miten se ylipäätään pääsee tietokoneeseen.
Bootkit-haittaohjelmat kehittyvät edelleen, varoittavat tutkijat.

Vanha 3,5 tuuman kiintolevy lattialla — John Caezar Panelo / Getty Images

Tietokoneen desinfiointi vaatii jonkin verran tekemistä. Uusi haittaohjelma tekee tehtävästä entistä hankalamman, koska tietoturvatutkijat ovat löytäneet sen upottaa itsensä niin syvälle tietokoneeseen, että joudut todennäköisesti irrottamaan emolevyn päästäksesi eroon siitä.

Dubattuna MoonBounce sen löytäneiden Kasperskyn tietoturvatutkijoiden toimesta haittaohjelma, jota kutsutaan teknisesti bootkitiksi, kulkee läpi. kiintolevyn ulkopuolelle ja kaivaa itsensä tietokoneen Unified Extensible Firmware Interface (UEFI) -käynnistykseen laiteohjelmisto.

"Hyökkäys on erittäin hienostunut" Tomer baari, turvallisuustutkimuksen johtaja klo SafeBreach, kertoi Lifewirelle sähköpostitse. "Kun uhri on saanut tartunnan, se on erittäin pysyvä, koska edes kiintolevyn muoto ei auta."

Romaani uhka

Bootkit-haittaohjelmat ovat harvinaisia, mutta eivät täysin uusia, ja Kaspersky itse on löytänyt kaksi muuta viimeisten parin vuoden aikana. Ainutlaatuisen MoonBouncen tekee kuitenkin se, että se saastuttaa emolevyn flash-muistin, mikä tekee siitä läpäisemättömän virustorjuntaohjelmistoille ja kaikille muille tavallisille haittaohjelmien poistokeinoille.

Itse asiassa Kaspersky-tutkijat huomauttavat, että käyttäjät voivat asentaa käyttöjärjestelmän uudelleen ja vaihtaa kiintolevyn, mutta käynnistyspaketti pysyy edelleen päällä tartunnan saaneeseen tietokoneeseen, kunnes käyttäjät joko päivittävät tartunnan saaneen flash-muistin uudelleen, mitä he kuvailevat "erittäin monimutkaiseksi prosessiksi" tai vaihtavat emolevyn täysin.

Kasa tietokoneen emolevyjä — Manfred Rutz / Getty Images

Bar lisäsi, että haittaohjelma on tiedostoton, mikä tarkoittaa, että se ei ole riippuvainen tiedostoista. että virustorjuntaohjelmat voivat ilmoittaa eivätkä jätä näkyvää jalanjälkeä tartunnan saaneeseen tietokoneeseen, mikä tekee siitä erittäin vaikeaa jäljittää.

Haittaohjelma-analyysinsä perusteella Kasperskyn tutkijat huomauttavat, että MoonBounce on ensimmäinen askel monivaiheisessa hyökkäyksessä. MoonBouncen takana olevat roistonäyttelijät käyttävät haittaohjelmia saadakseen jalansijaa uhrin luokse tietokoneeseen, jota he ymmärtävät, että niitä voidaan sitten käyttää lisäuhkien käyttöönotossa tietojen varastamiseksi tai käyttöönottoon lunnasohjelmat.

Pelastus on kuitenkin se, että tutkijat ovat löytäneet tähän mennessä vain yhden haittaohjelman esiintymän. "Se on kuitenkin erittäin hienostunut koodisarja, mikä on huolestuttavaa; jos ei muuta, se ennustaa muiden, kehittyneiden haittaohjelmien todennäköisyyttä tulevaisuudessa." Tim Helming, turvallisuusevankelista DomainTools, varoitti Lifewire sähköpostitse.

Therese Schachner, kyberturvallisuuskonsultti osoitteessa VPNBrains sovittu. "Koska MoonBounce on erityisen vaivalloinen, on mahdollista, että on olemassa muita MoonBounce-hyökkäyksiä, joita ei ole vielä löydetty."

Rokota tietokoneesi

Tutkijat huomauttavat, että haittaohjelma havaittiin vain siksi, että hyökkääjät tekivät käyttövirheen samat viestintäpalvelimet (tunnetaan teknisesti komento- ja ohjauspalvelimina) kuin toiset tunnetut haittaohjelma.

Helming kuitenkin lisäsi, että koska ei ole selvää, miten alkuperäinen tartunta tapahtuu, on käytännössä mahdotonta antaa hyvin tarkkoja ohjeita tartunnan välttämiseksi. Hyvin hyväksyttyjen tietoturvakäytäntöjen noudattaminen on kuitenkin hyvä alku.

"Samalla kun haittaohjelmat kehittyvät, peruskäyttäytymiset, joita keskivertokäyttäjän tulisi välttää suojatakseen itseään, eivät ole oikeastaan muuttuneet. Ohjelmistojen, erityisesti tietoturvaohjelmistojen, ajan tasalla pitäminen on tärkeää. Epäilyttävien linkkien klikkaamisen välttäminen on edelleen hyvä strategia." Tim Erlin, strategiajohtaja osoitteessa Ansalanka, ehdotettiin Lifewirelle sähköpostitse.

"... On mahdollista, että on muitakin MoonBounce-hyökkäyksiä, joita ei ole vielä löydetty."

Lisäten tähän ehdotukseen, Stephen Gates, Turvallisuusevankelista osoitteessa Checkmarx, kertoi Lifewirelle sähköpostitse, että keskimääräisen työpöytäkäyttäjän on mentävä perinteisiä virustorjuntatyökaluja pidemmälle, sillä ne eivät voi estää tiedostottomia hyökkäyksiä, kuten MoonBounce.

"Etsi työkaluja, jotka voivat hyödyntää komentosarjan hallintaa ja muistin suojausta, ja yritä käyttää organisaatioiden sovelluksia jotka käyttävät turvallisia, nykyaikaisia sovelluskehitysmenetelmiä pinon pohjasta huipulle", Gates ehdotti.

Haittaohjelma havaittu varoitusnäyttö abstraktilla binäärikoodilla — Olemedia / Getty Images

Bar puolestaan kannatti teknologioiden käyttöä, kuten SecureBoot ja TPM, varmistaaksesi, ettei käynnistyksen laiteohjelmistoa ole muokattu tehokkaaksi käynnistyssarjan haittaohjelmien ehkäisymenetelmäksi.

Schachner ehdotti samalla tavalla, että UEFI-laiteohjelmistopäivitysten asentaminen niiden julkaisuhetkellä auttaa käyttäjät sisällyttävät tietoturvakorjauksia, jotka suojaavat paremmin heidän tietokoneitaan uusilta uhilta, kuten MoonBounce.

Lisäksi hän suositteli myös sellaisten suojausalustojen käyttöä, jotka sisältävät laiteohjelmiston uhkien havaitsemisen. "Näiden tietoturvaratkaisujen avulla käyttäjät saavat tiedon mahdollisista laiteohjelmistouhkista mahdollisimman pian, jotta niihin voidaan puuttua ajoissa ennen kuin uhat eskaloituvat."