Net pakeitus standųjį diską ši kenkėjiška programa nebus pašalinta

January 25, 2022
ĮŽinios Interneto Apsauga

Key Takeaways

Saugumo tyrinėtojai aptiko unikalią kenkėjišką programą, kuri užkrečia pagrindinės plokštės „flash“ atmintį.
Kenkėjišką programą sunku pašalinti, o mokslininkai dar nesupranta, kaip ji iš pradžių patenka į kompiuterį.
„Bootkit“ kenkėjiška programa ir toliau vystysis, perspėja mokslininkai.

Senas 3,5 colio kietasis diskas ant grindų — Johnas Caezaras Panelo / Getty Images

Dezinfekuojant kompiuterį reikia atlikti tam tikrus veiksmus. Dėl naujos kenkėjiškos programos užduotis tampa dar sudėtingesnė, nes saugumo tyrinėtojai ją atrado įsiterpia taip giliai į kompiuterį, kad norint atsikratyti, tikriausiai teks paimti pagrindinę plokštę iš jo.

Dubliuotas MoonBounce ją atradę Kaspersky apsaugos žvalgai, kenkėjiška programa, techniškai vadinama įkrovos rinkiniu, prasiskverbia už standžiojo disko ir įsiskverbia į kompiuterio Unified Extensible Firmware Interface (UEFI) įkrovą programinė įranga.

„Ataka yra labai sudėtinga“, Tomer baras, Saugumo tyrimų direktorius SafeBreach, sakė Lifewire el. paštu. „Kai auka užsikrečia, ji yra labai patvari, nes net standžiojo disko formatas nepadės.

Romano grėsmė

„Bootkit“ kenkėjiškos programos yra retos, bet ne visiškai naujos, o pati „Kaspersky“ per pastaruosius porą metų atrado dar du. Tačiau „MoonBounce“ išskirtinumas yra tas, kad ji užkrečia pagrindinėje plokštėje esančią „flash“ atmintį, todėl ji nepraleidžia antivirusinės programinės įrangos ir visų kitų įprastų kenkėjiškų programų pašalinimo priemonių.

Tiesą sakant, „Kaspersky“ tyrėjai pažymi, kad vartotojai gali iš naujo įdiegti operacinę sistemą ir pakeisti standųjį diską, tačiau įkrovos rinkinys ir toliau bus įjungtas. užkrėstą kompiuterį tol, kol vartotojai iš naujo įkels užkrėstą „flash“ atmintį, kurią jie apibūdina kaip „labai sudėtingą procesą“, arba pakeis pagrindinę plokštę. visiškai.

Krūva kompiuterių pagrindinių plokščių — Manfredas Rutzas / Getty Images

Baras pridūrė, kad kenkėjiška programa yra dar pavojingesnė, nes ji yra be failų, o tai reiškia, kad ji nepasikliauja failais. kad antivirusinės programos gali pažymėti ir nepalieka jokio matomo pėdsako užkrėstame kompiuteryje, todėl tai labai sunku pėdsaką.

Remdamiesi kenkėjiškų programų analize, „Kaspersky“ tyrėjai pažymi, kad „MoonBounce“ yra pirmasis kelių etapų atakos žingsnis. Nesąžiningi „MoonBounce“ aktoriai naudoja kenkėjišką programą, kad įsitvirtintų aukoje Kompiuteriai, kuriuos jie supranta, gali būti naudojami papildomoms grėsmėms pavogti arba įdiegti ransomware.

Tačiau gelbsti tai, kad mokslininkai iki šiol rado tik vieną kenkėjiškos programos atvejį. „Tačiau tai labai sudėtingas kodo rinkinys, kuris kelia nerimą; jei nieko daugiau, tai pranašauja kitų pažangių kenkėjiškų programų tikimybę ateityje. Timas Helmingas, saugumo evangelistas su Domeno įrankiai, perspėjo Lifewire el. paštu.

Teresė Schachner, kibernetinio saugumo konsultantas adresu VPNBrains sutiko. „Kadangi „MoonBounce“ yra ypač slaptas, gali būti, kad yra papildomų „MoonBounce“ atakų, kurios dar nebuvo aptiktos.

Inokuliuokite savo kompiuterį

Tyrėjai pažymi, kad kenkėjiška programa buvo aptikta tik todėl, kad užpuolikai padarė klaidą naudodami tie patys ryšio serveriai (techniškai žinomi kaip komandų ir valdymo serveriai), kaip ir kiti žinomi kenkėjiška programa.

Tačiau Helmingas pridūrė, kad kadangi neaišku, kaip vyksta pradinė infekcija, praktiškai neįmanoma pateikti labai konkrečių nurodymų, kaip apsisaugoti nuo užsikrėtimo. Vis dėlto gera pradžia yra vadovautis gerai priimtomis geriausios saugos praktikos pavyzdžiais.

„Nors pati kenkėjiška programa tobulėja, pagrindinės elgsenos, kurių paprastas vartotojas turėtų vengti, kad apsisaugotų, iš tikrųjų nepasikeitė. Svarbu nuolat atnaujinti programinę įrangą, ypač saugos programinę įrangą. Vengti spustelėti įtartinas nuorodas išlieka gera strategija. Timas Erlinas, strategijos viceprezidentas Tripwire, pasiūlyta Lifewire el. paštu.

"... Gali būti, kad yra papildomų „MoonBounce“ atakų, kurios dar nebuvo aptiktos“.

Papildydamas šį pasiūlymą, Steponas Geitsas, saugumo evangelistas adresu Checkmarxel. paštu „Lifewire“ sakė, kad paprastas darbalaukio naudotojas turi naudoti daugiau nei tradicinės antivirusinės priemonės, kurios negali apsisaugoti nuo atakų be failų, tokių kaip „MoonBounce“.

„Ieškokite įrankių, galinčių panaudoti scenarijų valdymą ir atminties apsaugą, ir bandykite naudoti organizacijų programas kurios naudoja saugias, modernias taikomųjų programų kūrimo metodikas – nuo krūvos apačios iki viršaus“, – sakė Gatesas pasiūlė.

Aptiktos kenkėjiškos programos įspėjimo ekranas su abstrakčiu dvejetainiu kodu — Olemedia / Getty Images

Kita vertus, Baras pasisakė už technologijų naudojimą, pvz SecureBoot ir TPM, kad patikrintumėte, ar įkrovos programinė įranga nebuvo modifikuota kaip veiksmingas būdas kovoti su įkrovos rinkinio kenkėjiška programa.

Schachneris panašiai teigė, kad UEFI programinės įrangos naujinimų įdiegimas, kai jie bus išleisti, padės vartotojai įdiegia saugos pataisas, kurios geriau apsaugo jų kompiuterius nuo naujų grėsmių, tokių kaip MoonBounce.

Be to, ji taip pat rekomendavo naudoti saugos platformas, kuriose yra programinės įrangos grėsmės aptikimas. „Šie saugumo sprendimai leidžia vartotojus kuo greičiau informuoti apie galimas programinės aparatinės įrangos grėsmes, kad jas būtų galima laiku pašalinti, kol grėsmės neišsiplėtė.