Навіть заміна жорсткого диска не видалить це шкідливе програмне забезпечення
Ключові речі на винос
- Дослідники безпеки виявили унікальне шкідливе програмне забезпечення, яке заражає флеш-пам'ять на материнській платі.
- Шкідливе програмне забезпечення важко видалити, і дослідники ще не розуміють, як воно взагалі потрапляє на комп’ютер.
- Дослідники попереджають, що шкідливі програми буткітів будуть розвиватися й далі.
Джон Цезар Панело / Getty Images
Дезінфекція комп’ютера вимагає певних дій як є. Нове шкідливе програмне забезпечення робить це завдання ще більш громіздким, оскільки його виявили дослідники безпеки вбудовується настільки глибоко в комп’ютер, що вам, ймовірно, доведеться скинути материнську плату, щоб позбутися цього.
Дубльований MoonBounce шукачами безпеки в Kaspersky, які виявили це, зловмисне програмне забезпечення, яке технічно називається буткітом, проникає за межі жорсткого диска і заривається в завантаження комп’ютера з уніфікованого розширюваного інтерфейсу мікропрограми (UEFI) прошивка.
«Атака дуже складна», Бар Томер, директор відділу досліджень безпеки в
Роман загроза
Зловмисне програмне забезпечення Bootkit є рідкісним, але не зовсім новим, оскільки Касперський сам виявив дві інші за останні пару років. Однак унікальність MoonBounce полягає в тому, що він заражає флеш-пам’ять, розташовану на материнській платі, роблячи її непроникною для антивірусного програмного забезпечення та всіх інших звичайних засобів видалення шкідливих програм.
Насправді дослідники Kaspersky відзначають, що користувачі можуть перевстановити операційну систему та замінити жорсткий диск, але буткіт залишиться включеним. інфікований комп’ютер, поки користувачі не перепрошують заражену флеш-пам’ять, що вони описують як «дуже складний процес», або замінять материнську плату повністю.
Манфред Рутц / Getty Images
Що робить шкідливе програмне забезпечення ще більш небезпечним, додав Бар, так це те, що зловмисне програмне забезпечення є безфайловим, що означає, що воно не залежить від файлів. що антивірусні програми можуть позначати прапорець і не залишають видимого сліду на зараженому комп’ютері, що дуже ускладнює слід.
На основі аналізу шкідливого програмного забезпечення дослідники Kaspersky відзначають, що MoonBounce — це перший крок у багатоетапній атаці. Злочинці, які стоять за MoonBounce, використовують зловмисне програмне забезпечення, щоб закріпитися на жертві комп’ютер, який, як вони розуміють, потім можна використовувати для розгортання додаткових загроз для крадіжки даних або розгортання програми-вимагачі.
Однак до сих пір дослідники знайшли лише один екземпляр зловмисного програмного забезпечення. «Однак це дуже складний набір коду, що викликає занепокоєння; якщо нічого іншого, то це віщує ймовірність появи інших, передових шкідливих програм у майбутньому", Тім Хелмінг, євангеліст безпеки с DomainTools, попередив Lifewire електронною поштою.
Тереза Шахнер, консультант з кібербезпеки в VPNBrains погодився. «Оскільки MoonBounce особливо схована, можливо, є додаткові випадки атак MoonBounce, які ще не були виявлені».
Зробіть щеплення комп’ютеру
Дослідники відзначають, що зловмисне програмне забезпечення було виявлено лише тому, що зловмисники зробили помилку використання ті самі сервери зв'язку (технічно відомі як сервери командування та управління), що й інші відомі шкідливе програмне забезпечення.
Однак Хелмінг додав, що оскільки неясно, як відбувається первинне зараження, практично неможливо дати конкретні вказівки щодо того, як уникнути зараження. Однак дотримання загальноприйнятих передових методів безпеки є хорошим початком.
«Хоча зловмисне програмне забезпечення розвивається, основні способи поведінки, яких пересічний користувач повинен уникати, щоб захистити себе, насправді не змінилися. Важливо підтримувати актуальне програмне забезпечення, особливо програмне забезпечення безпеки. Уникнення натискання підозрілих посилань залишається хорошою стратегією», Тім Ерлін, віце-президент зі стратегії ст Tripwire, запропоновано Lifewire електронною поштою.
"... можливо, є додаткові випадки атак MoonBounce, які ще не виявлені».
Додавши до цієї пропозиції, Стівен Гейтс, Євангеліст безпеки в Checkmarx, повідомив Lifewire по електронній пошті, що пересічний користувач настільного комп’ютера повинен вийти за рамки традиційних антивірусних інструментів, які не можуть запобігти безфайловим атакам, таким як MoonBounce.
«Знайдіть інструменти, які можуть використовувати контроль сценаріїв і захист пам’яті, і спробуйте використовувати програми від організацій які використовують безпечні, сучасні методи розробки додатків, від нижньої частини стеку до вершини», — Гейтс запропонував.
Olemedia / Getty Images
Бар, навпаки, виступав за використання технологій, наприклад SecureBoot і TPM, щоб переконатися, що мікропрограмне забезпечення для завантаження не було модифіковано як ефективний метод боротьби зі зловмисним програмним забезпеченням bootkit.
Шахнер, подібним чином, припустив, що встановлення оновлень мікропрограми UEFI після їх випуску допоможе користувачі включають виправлення безпеки, які краще захищають їхні комп’ютери від нових загроз, таких як MoonBounce.
Крім того, вона також рекомендувала використовувати платформи безпеки, які включають виявлення загроз прошивки. «Ці рішення безпеки дозволяють користувачам отримувати інформацію про потенційні загрози мікропрограми якомога швидше, щоб їх можна було вчасно вирішувати, перш ніж загрози ескалують».