Реклама

Рооткит је посебно језива врста злонамерног софтвера. Редовна инфекција злонамерним софтвером се учитава када уђете у оперативни систем. И даље је лоша ситуација, али пристојан антивирус би требао уклонити злонамјерни софтвер и очистити ваш систем.

Супротно томе, рооткит се инсталира на фирмвер вашег система и омогућава инсталацију злонамерног корисног оптерећења сваки пут када поново покренете систем.

Истраживачи безбедности приметили су нову варијанту рооткита у дивљини, под називом ЛоЈак. Шта овај рооткит издваја од осталих? Па, може заразити модерне системе засноване на УЕФИ, а не старије БИОС системе. А то је проблем.

ЛоЈак УЕФИ Рооткит

ЕСЕТ Ресеарцх објављено истраживачки рад који детаљно описује ЛоЈак, новооткривени рооткит (шта је рооткит?) који успешно ре-намене комерцијални софтвер истог назива. (Иако је истраживачки тим крштавао злонамерни софтвер „ЛоЈак“, оригинални софтвер носи назив „ЛоЈацк.“)

Уз претњу, ЛоЈак може преживети комплетну поновну инсталацију Виндовса, па чак и замену чврстог диска.

instagram viewer

Злонамјерни софтвер преживљава нападом на систем за покретање УЕФИ фирмваре-а. Остало рооткити се могу сакрити у погонима или секторима за покретање Шта је бооткит и да ли је Немесис права претња?Хакери и даље проналазе начине како да поремете ваш систем, као што је бооткит. Погледајмо шта је бооткит, како функционише варијанта Немесис, и размотримо шта можете учинити да останете јасни. Опширније , зависно од њиховог шифрирања и намере нападача. ЛоЈак се закачи за фирмвер система и поново инфицира систем пре него што се ОС чак и учита.

За сада је једини познати метод за потпуно уклањање ЛоЈак злонамјерног софтвера трепери нови фирмвер преко сумњивог система Како ажурирати свој УЕФИ БИОС у оперативном систему ВиндовсВећина корисника рачунара иде без ажурирања свог БИОС-а. Ако вам је стало да наставите стабилност, повремено би требало да проверите да ли је доступно ажурирање. Показујемо вам како безбедно ажурирати свој УЕФИ БИОС. Опширније . Флеш фирмвера није нешто са чим већина корисника има искуства. Иако је лакше него у прошлости, и даље је значајно да ће бљесак фирмвера поћи по злу, што може потенцијално угрозити уређај.

Како функционира ЛоЈак Рооткит?

ЛоЈак користи препакирану верзију ЛоЈацк софтвера против крађе компаније Абсолуте Софтваре. Оригинални алат треба да буде постојан током брисања система или замене чврстог диска како би корисник лиценце могао да прати украдени уређај. Разлози за урањање алата толико дубоко у рачунар су прилично легитимни, а ЛоЈацк је и даље популаран производ против крађе за тачне квалитете.

С обзиром да је у САД 97 одсто украдених лаптопа никад опорављени, разумљиви корисници желе додатну заштиту за тако скупо улагање.

ЛоЈак користи управљачки програм кернела, РвДрв.сис, да бисте приступили подешавањима БИОС / УЕФИ. Управљачки програм кернела се испоручује са РВЕверитхинг, легитимним алатом који се користи за читање и анализирање рачунарских поставки ниског нивоа (битови којима обично немате приступ). У процесу инфекције ЛоЈак рооткитом била су још три алата:

  • Први алат убацује информације о системским подешавањима ниског нивоа (копираним из РВЕверитхинг) у текстуалну датотеку. Заобилажење заштите система од злонамерних ажурирања софтвера захтева знање о систему.
  • Други алат „спрема слику фирмвера система у датотеку читањем садржаја СПИ флеш меморије“. СПИ флеш меморија хостује УЕФИ / БИОС.
  • Трећи алат додаје злонамерни модул слици фирмвера, а затим га враћа назад у СПИ флеш меморију.

Ако ЛоЈак схвати да је СПИ флеш меморија заштићена, она користи познату рањивост (ЦВЕ-2014-8273) да бисте му приступили, а затим наставља и уписује рооткит у меморију.

Одакле ЛоЈак?

Истраживачки тим ЕСЕТ верује да је ЛоЈак дело злогласне руске хакерске групе Фанци Беар / Седнит / Стронтиум / АПТ28. Хакерска група одговорна је за неколико великих напада последњих година.

ЛоЈак користи исте сервере за командовање и контролу као и СедУплоадер - још један Седнит бацкдоор малваре. ЛоЈак такође има везе и трагове осталих Седнит малваре-а, укључујући КСАгент (још један бацкдоор алат) и КСТуннел (сигуран мрежни проки алат).

Поред тога, истраживање ЕСЕТ-а открило је да су оператери злонамерног софтвера "користили различите компоненте ЛоЈак малваре за циљање неколико владиних организација на Балкану, као и на Централном и Источном Европа."

ЛоЈак није први УЕФИ Рооткит

Вест о ЛоЈаку сигурно је проузроковала да свет безбедности сједне и бележи. Међутим, ово није први УЕФИ рооткит. Тим за хакирање (злонамерна група, за сваки случај, ако се питате) користио је УЕФИ / БИОС рооткит још у 2015. години да би се агент даљинског управљања инсталирао на циљне системе.

Главна разлика између УЕФИ рооткита Хацкинг Теам-а и ЛоЈак-а је начин испоруке. Тада су истраживачи за безбедност сматрали да је тиму за хакирање потребан физички приступ систему да би се инсталирала инфекција на нивоу фирмвера. Наравно, ако неко има директан приступ вашем рачунару, може радити што жели. Ипак, УЕФИ рооткит је посебно гадан.

Да ли је ваш систем ризичан од ЛоЈака?

Савремени системи засновани на УЕФИ имају неколико различитих предности у односу на њихове старије БИОС-ове колеге.

За једну су новији. Нови хардвер није све крај и крај, али много олакшава рачунарство.

Друго, УЕФИ-ов софтвер такође има неколико додатних безбедносних карактеристика. Посебно треба приметити Сигурну чизму, што омогућава само покретање програма са потписаним дигиталним потписом.

Ако је ово искључено и наиђете на рооткит, имаћете лошег времена. Сецуре Боот је посебно корисно средство у тренутном добу рансомвареа. Погледајте следећи видео снимак Сецуре Боот који се бави изузетно опасним НотПетиа рансомваре-ом:

НотПетиа би кодирао све на циљном систему да је сигурна покретања била искључена.

ЛоЈак је уопште другачија врста звери. Супротно ранијим извештајима, чак и безбедно покретање не може зауставити ЛоЈак. Ажурирање УЕФИ фирмваре-а је изузетно важно. Постоје неке специјализоване алатке против рооткита Комплетан водич за уклањање злонамјерног софтвераОвих је дана злонамерни софтвер свуда присутан, а искорјењивање злонамјерног софтвера из вашег система дуготрајан је процес, за који су потребне упуте. Ако мислите да је ваше рачунало заражено, ово је водич који вам је потребан. Опширније такође, али није јасно да ли могу да се заштите од ЛоЈака.

Међутим, као и многе претње са оваквим нивоом могућности, ваш рачунар је главна мета. Напредни малваре углавном се фокусира на циљеве високог нивоа. Надаље, ЛоЈак има назнаке умијешаности актера пријетње националних држава; још једна велика шанса да ЛоЈак неће утицати на вас у кратком року. Уз то, злонамерни софтвер има начин филтрирања у свет. Ако цибер-криминалци примете успешну употребу ЛоЈак-а, то може постати уобичајеније у редовним нападима малваре-а.

Као и увек, ажурирање система је један од најбољих начина да заштитите свој систем. Велика помоћ је и претплата на Малваребитес Премиум. 5 разлога за надоградњу на Малваребитес Премиум: Да, то је вредноИако је бесплатна верзија Малваребитеса феноменална, премиум верзија има гомилу корисних и вриједних функција. Опширније

Гавин је старији писац за МУО. Такође је уредник и СЕО менаџер за сестрино крипто фокусирано седиште МакеУсеОф, Блоцкс Децодед. Има БА (Хонс) савремено писање с дигиталним уметничким праксама које су провалиле из Девонских брда, као и више од деценије професионалног писања. Ужива у великим количинама чаја.