Ključni izsledki
- Raziskovalci varnosti so odkrili edinstveno zlonamerno programsko opremo, ki okuži bliskovni pomnilnik na matični plošči.
- Zlonamerno programsko opremo je težko odstraniti in raziskovalci še ne razumejo, kako sploh pride v računalnik.
-
Zlonamerna programska oprema Bootkit se bo še naprej razvijala, opozarjajo raziskovalci.
Razkuževanje računalnika zahteva nekaj dela. Zaradi nove zlonamerne programske opreme je naloga še bolj okorna, saj so varnostni raziskovalci odkrili, da se vgradi tako globoko v računalnik, da boste verjetno morali zavreči matično ploščo, da se je znebite.
Zlonamerna programska oprema, ki so jo varnostni preiskovalci pri Kasperskyju, ki jo je odkril, poimenovali MoonBounce, tehnično imenovana bootkit, preide preko trdega diska in se zakoplje v zagonsko strojno programsko opremo UEFI (Unified Extensible Firmware Interface).
"Napad je zelo prefinjen," je za Lifewire po elektronski pošti povedal Tomer Bar, direktor varnostnih raziskav pri SafeBreach. "Ko je žrtev okužena, je zelo vztrajna, saj niti format trdega diska ne pomaga."
Nova grožnja
Zlonamerna programska oprema Bootkit je redka, vendar ni povsem nova, saj je Kaspersky v zadnjih nekaj letih odkril dve drugi. Vendar je MoonBounce edinstven v tem, da okuži bliskovni pomnilnik na matični plošči, zaradi česar je neprepusten za protivirusno programsko opremo in vsa druga običajna sredstva za odstranjevanje zlonamerne programske opreme.
Raziskovalci Kasperskyja pravzaprav ugotavljajo, da lahko uporabniki znova namestijo operacijski sistem in zamenjajo trdi disk, vendar bo bootkit še naprej ostal na okuženem računalniku, dokler uporabniki bodisi ponovno ne zaženejo okuženega bliskovnega pomnilnika, kot opisujejo kot "zelo zapleten postopek," ali v celoti zamenjati matično ploščo.
Zaradi česar je zlonamerna programska oprema še bolj nevarna, je dodal Bar, je, da je zlonamerna programska oprema brez datotek, kar pomeni, da se ne zanaša na datoteke, ki jih protivirusni programi lahko označijo, in ne pušča očitnega odtisa na okuženem računalniku, zaradi česar je zelo težko izslediti.
Na podlagi analize zlonamerne programske opreme raziskovalci družbe Kaspersky ugotavljajo, da je MoonBounce prvi korak v večstopenjskem napadu. Prevaranti, ki stojijo za MoonBounce, uporabljajo zlonamerno programsko opremo, da vzpostavijo oporo v žrtvinem računalniku, za katerega menijo, da se lahko nato uporabi za uvedbo dodatnih groženj za krajo podatkov ali uvedbo izsiljevalske programske opreme.
Rešilno pa je, da so raziskovalci do zdaj našli le en primerek zlonamerne programske opreme. "Vendar je to zelo prefinjen nabor kode, kar je zaskrbljujoče; če ne drugega, napoveduje verjetnost druge, napredne zlonamerne programske opreme v prihodnosti," je Tim Helming, varnostni evangelist pri DomainTools, opozoril Lifewire po elektronski pošti.
Therese Schachner, svetovalka za kibernetsko varnost pri VPNBrains, se je strinjala. "Ker je MoonBounce še posebej prikrit, je možno, da obstajajo dodatni primeri napadov MoonBounce, ki še niso bili odkriti."
Cepite svoj računalnik
Raziskovalci ugotavljajo, da je bila zlonamerna programska oprema odkrita samo zato, ker so napadalci naredili napako in uporabili iste komunikacijske strežnike (tehnično znane kot ukazni in nadzorni strežniki) kot drugo znano zlonamerno programsko opremo.
Vendar je Helming dodal, da ker ni jasno, kako pride do začetne okužbe, je praktično nemogoče dati zelo natančna navodila, kako se izogniti okužbi. Vendar je upoštevanje dobro sprejetih najboljših praks glede varnosti dober začetek.
Medtem ko zlonamerna programska oprema napreduje, se osnovno vedenje, ki bi se mu moral povprečen uporabnik izogibati, da bi se zaščitil, v resnici ni spremenilo. Posodabljanje programske opreme, zlasti varnostne, je pomembno. Izogibanje klikanju na sumljive povezave je še vedno dobra strategija, « je za Lifewire po e-pošti predlagal Tim Erlin, podpredsednik strategije pri Tripwire.
… možno je, da obstajajo dodatni primeri napadov MoonBounce, ki še niso bili odkriti.
Poleg tega predloga je Stephen Gates, varnostni evangelist pri Checkmarxu, za Lifewire po e-pošti povedal, da mora povprečen uporabnik namizja preseči tradicionalna protivirusna orodja, ki ne morejo preprečiti napadov brez datotek, kot je MoonBounce.
»Poiščite orodja, ki lahko izkoristijo nadzor nad skripti in zaščito pomnilnika, ter poskusite uporabiti aplikacije organizacij, ki uporabljajo varne, sodobne metodologije za razvoj aplikacij, od dna sklada do vrha,« je predlagal Gates.
Bar je po drugi strani zagovarjal uporabo tehnologij, kot sta SecureBoot in TPM, za preverjanje, ali zagonska vdelana programska oprema ni bila spremenjena kot učinkovita tehnika za ublažitev škodljive programske opreme bootkit.
Schachner je na podoben način predlagal, da bo namestitev posodobitev vdelane programske opreme UEFI, ko bodo izdane, uporabnikom pomagala vključiti varnostne popravke, ki bodo bolje zaščitili njihove računalnike pred nastajajočimi grožnjami, kot je MoonBounce.
Poleg tega je priporočila tudi uporabo varnostnih platform, ki vključujejo zaznavanje groženj vdelane programske opreme. "Te varnostne rešitve omogočajo uporabnikom, da so čim prej obveščeni o potencialnih grožnjah vdelane programske opreme, tako da jih je mogoče pravočasno obravnavati, preden se grožnje stopnjujejo."
