Nawet wymiana dysku twardego nie usunie tego złośliwego oprogramowania
Kluczowe dania na wynos
- Badacze bezpieczeństwa odkryli unikalne złośliwe oprogramowanie, które infekuje pamięć flash na płycie głównej.
- Złośliwe oprogramowanie jest trudne do usunięcia, a badacze nie rozumieją jeszcze, w jaki sposób dostaje się do komputera.
- Złośliwe oprogramowanie typu Bootkit będzie nadal ewoluować, ostrzegają badacze.
John Caezar Panelo / Getty Images
Dezynfekcja komputera zajmuje trochę czasu. Nowe złośliwe oprogramowanie sprawia, że zadanie to jest jeszcze bardziej uciążliwe, ponieważ badacze bezpieczeństwa odkryli je osadza się tak głęboko w komputerze, że prawdopodobnie będziesz musiał odrzucić płytę główną, aby się pozbyć z tego.
Nazwany Blask księżyca przez detektywów z firmy Kaspersky, którzy je odkryli, złośliwe oprogramowanie, technicznie nazywane bootkitem, przemierza poza dysk twardy i zagłębia się w rozruchu Unified Extensible Firmware Interface (UEFI) oprogramowanie układowe.
„Atak jest bardzo wyrafinowany” Tomer Bar, Dyrektor ds. Badań nad Bezpieczeństwem,
Powieść Zagrożenie
Szkodliwe oprogramowanie typu Bootkit jest rzadkie, ale nie zupełnie nowe, a sam Kaspersky odkrył w ciągu ostatnich kilku lat dwa inne. Jednak tym, co czyni MoonBounce wyjątkowym, jest to, że infekuje pamięć flash znajdującą się na płycie głównej, czyniąc ją niewrażliwą na oprogramowanie antywirusowe i wszystkie inne typowe sposoby usuwania złośliwego oprogramowania.
W rzeczywistości badacze z firmy Kaspersky zauważają, że użytkownicy mogą ponownie zainstalować system operacyjny i wymienić dysk twardy, ale bootkit pozostanie włączony zainfekowany komputer, dopóki użytkownicy nie sflashują zainfekowanej pamięci flash, którą opisują jako „bardzo złożony proces”, lub wymienią płytę główną całkowicie.
Manfred Rutz / Getty Images
Bar dodał, że złośliwe oprogramowanie jest jeszcze bardziej niebezpieczne, ponieważ jest bezplikowe, co oznacza, że nie opiera się na plikach że programy antywirusowe mogą oznaczać flagi i nie pozostawiają śladów na zainfekowanym komputerze, co bardzo utrudnia: namierzać.
Na podstawie analizy szkodliwego oprogramowania analitycy z Kaspersky zauważają, że MoonBounce jest pierwszym krokiem w wieloetapowym ataku. Nieuczciwi aktorzy stojący za MoonBounce wykorzystują to złośliwe oprogramowanie, aby zahaczyć o ofiarę komputer, który mogą być następnie wykorzystane do wdrażania dodatkowych zagrożeń w celu kradzieży danych lub wdrożenia ransomware.
Oszczędzającą łaską jest jednak to, że badacze do tej pory znaleźli tylko jeden przypadek złośliwego oprogramowania. „Jednakże jest to bardzo wyrafinowany zestaw kodu, co jest niepokojące; jeśli nic więcej, to zapowiada prawdopodobieństwo pojawienia się innego, zaawansowanego złośliwego oprogramowania w przyszłości” Tim Helming, ewangelista bezpieczeństwa z Narzędzia domeny, ostrzegł Lifewire przez e-mail.
Teresa Schachner, konsultant ds. bezpieczeństwa cybernetycznego w VPNMózgi Zgoda. „Ponieważ MoonBounce jest szczególnie ukryty, możliwe jest, że istnieją dodatkowe przypadki ataków MoonBounce, które nie zostały jeszcze odkryte”.
Zaszczep swój komputer
Badacze zauważają, że złośliwe oprogramowanie zostało wykryte tylko dlatego, że atakujący popełnili błąd polegający na użyciu te same serwery komunikacyjne (technicznie znane jako serwery dowodzenia i kontroli) jako inne znane złośliwe oprogramowanie.
Helming dodał jednak, że ponieważ nie jest jasne, w jaki sposób przebiega początkowa infekcja, praktycznie niemożliwe jest podanie bardzo konkretnych wskazówek, jak uniknąć infekcji. Dobrym początkiem jest jednak przestrzeganie dobrze przyjętych najlepszych praktyk w zakresie bezpieczeństwa.
„Podczas gdy samo złośliwe oprogramowanie się rozwija, podstawowe zachowania, których przeciętny użytkownik powinien unikać, aby się chronić, tak naprawdę nie uległy zmianie. Dbanie o aktualność oprogramowania, zwłaszcza oprogramowania zabezpieczającego, jest bardzo ważne. Unikanie klikania podejrzanych linków pozostaje dobrą strategią” Tim Erlin, wiceprezes ds. strategii w Tripwire, zasugerowano Lifewire przez e-mail.
"... możliwe, że istnieją dodatkowe przypadki ataków MoonBounce, które nie zostały jeszcze odkryte.”
Dodając do tej sugestii, Stephen Gates, Ewangelista Bezpieczeństwa w Sprawdźmarks, powiedział Lifewire w wiadomości e-mail, że przeciętny użytkownik komputerów stacjonarnych musi wyjść poza tradycyjne narzędzia antywirusowe, które nie są w stanie zapobiec atakom bezplikowym, takim jak MoonBounce.
„Wyszukaj narzędzia, które mogą wykorzystać kontrolę skryptów i ochronę pamięci, i spróbuj użyć aplikacji z organizacji które wykorzystują bezpieczne, nowoczesne metodologie tworzenia aplikacji, od dołu do góry stosu” Gates zasugerował.
Olemedia / Getty Images
Bar z kolei opowiadał się za wykorzystaniem technologii, takich jak: SecureBoot i TPM, aby sprawdzić, czy oprogramowanie rozruchowe nie zostało zmodyfikowane jako skuteczna technika łagodzenia skutków złośliwego oprogramowania typu bootkit.
Schachner w podobny sposób zasugerował, że instalowanie aktualizacji oprogramowania UEFI w miarę ich pojawiania się pomoże użytkownicy wprowadzają poprawki bezpieczeństwa, które lepiej chronią ich komputery przed pojawiającymi się zagrożeniami, takimi jak: Blask księżyca.
Ponadto zaleciła również korzystanie z platform bezpieczeństwa, które zawierają wykrywanie zagrożeń oprogramowania układowego. „Te rozwiązania w zakresie bezpieczeństwa umożliwiają użytkownikom jak najszybsze informowanie użytkowników o potencjalnych zagrożeniach oprogramowania układowego, dzięki czemu można je odpowiednio szybko rozwiązać, zanim zagrożenia się nasilą”.