A legfontosabb elvitelek
- Biztonsági kutatók felfedeztek egy egyedi rosszindulatú programot, amely megfertőzi az alaplap flash memóriáját.
- A rosszindulatú programot nehéz eltávolítani, és a kutatók még nem értik, hogyan kerülhetett be a számítógépbe.
-
A Bootkit rosszindulatú programjai tovább fognak fejlődni, figyelmeztetik a kutatókat.
A számítógép fertőtlenítése bizonyos műveleteket igényel. Egy új rosszindulatú program még körülményesebbé teszi a feladatot, mivel a biztonsági kutatók felfedezték, hogy olyan mélyen beágyazódik a számítógépbe, hogy valószínűleg le kell szednie az alaplapot, hogy megszabaduljon tőle.
MoonBounce névre keresztelték a Kaspersky biztonsági rablói, akik felfedezték, a technikailag rendszerindító készletnek nevezett rosszindulatú program áthalad a merevlemezen, és befurakszik a számítógép Unified Extensible Firmware Interface (UEFI) rendszerindító firmware-ébe.
"A támadás nagyon kifinomult" - mondta Tomer Bar, a SafeBreach biztonsági kutatási igazgatója a Lifewire-nek e-mailben. "Ha az áldozat megfertőződött, az nagyon kitartó, mivel még a merevlemez-formátum sem segít."
Újszerű fenyegetés
A Bootkit rosszindulatú programok ritkák, de nem teljesen újak, és maga a Kaspersky is két másikat fedezett fel az elmúlt néhány évben. A MoonBounce-t azonban az teszi egyedivé, hogy megfertőzi az alaplapon található flash memóriát, így áthatolhatatlanná teszi a víruskereső szoftvereket és a rosszindulatú programok eltávolításának minden egyéb szokásos eszközét.
A Kaspersky kutatói megjegyzik, hogy a felhasználók újratelepíthetik az operációs rendszert és kicserélhetik a merevlemezt, de a rendszerindító készlet továbbra is a fertőzött számítógépen marad mindaddig, amíg a felhasználók újra nem frissítik a fertőzött flash memóriát, amit leírtak. mint "nagyon összetett folyamat", vagy cserélje ki teljesen az alaplapot.
A kártevőt még veszélyesebbé teszi – tette hozzá Bar –, hogy a kártevő fájl nélküli, ami azt jelenti, hogy nem támaszkodik olyan fájlokra, amelyeket a víruskereső programok meg tudnak jelölni, és nem hagy látható nyomot a fertőzött számítógépen, így nehéz nyomon követni.
A kártevő elemzése alapján a Kaspersky kutatói megjegyzik, hogy a MoonBounce a többlépcsős támadás első lépése. A MoonBounce mögött meghúzódó szélhámos szereplők a rosszindulatú program segítségével megtámasztják az áldozat számítógépét, amelyet aztán további fenyegetések bevetésére használhatnak fel adatok ellopására vagy zsarolóprogramok telepítésére.
A megmentő kegyelem azonban az, hogy a kutatók eddig csak egy példányt találtak a rosszindulatú programnak. "Azonban ez egy nagyon kifinomult kódkészlet, ami aggodalomra ad okot; ha mást nem, akkor más, fejlett rosszindulatú programok valószínűségét hirdeti a jövőben" - figyelmeztette a Lifewire-t e-mailben Tim Helming, a DomainTools biztonsági evangélistája.
Therese Schachner, a VPNBrains kiberbiztonsági tanácsadója egyetértett. "Mivel a MoonBounce különösen lopakodó, lehetséges, hogy vannak további MoonBounce támadások, amelyeket még nem fedeztek fel."
Inokulálja be számítógépét
A kutatók megjegyzik, hogy a kártevőt csak azért észlelték, mert a támadók elkövették azt a hibát, hogy ugyanazokat a kommunikációs szervereket (technikailag parancs- és vezérlőszervereknek) használták, mint egy másik ismert rosszindulatú program.
Helming azonban hozzátette, hogy mivel nem világos, hogyan történik a kezdeti fertőzés, gyakorlatilag lehetetlen nagyon konkrét útmutatást adni a fertőzés elkerülésére. A jól elfogadott biztonsági bevált gyakorlatok követése azonban jó kezdet.
Bár maga a rosszindulatú program fejlődik, az alapvető viselkedési módok, amelyeket az átlagfelhasználóknak kerülniük kell önmaguk védelme érdekében, nem változtak. A szoftverek, különösen a biztonsági szoftverek naprakészen tartása fontos. A gyanús linkekre való kattintás elkerülése továbbra is jó stratégia.” Tim Erlin, a Tripwire stratégiai alelnöke javasolta a Lifewire-nek e-mailben.
… lehetséges, hogy vannak további MoonBounce-támadások, amelyeket még nem fedeztek fel.
A javaslathoz Stephen Gates, a Checkmarx biztonsági evangélistája e-mailben elmondta a Lifewire-nek, hogy az átlagos asztali számítógép-felhasználóknak túl kell lépniük a hagyományos víruskereső eszközökön, amelyek nem tudják megakadályozni a fájl nélküli támadásokat, például a MoonBounce-t.
"Keressen olyan eszközöket, amelyek kihasználják a szkriptvezérlést és a memóriavédelmet, és próbálja meg biztonságos, modern alkalmazásfejlesztési módszereket alkalmazó szervezetek alkalmazásait használni a verem aljától a tetejéig" - javasolta Gates.
A Bar ezzel szemben olyan technológiák használatát szorgalmazta, mint például a SecureBoot és a TPM annak ellenőrzésére, hogy a rendszerindító firmware-t nem módosították-e a bootkit rosszindulatú szoftverek elleni hatékony enyhítő technikaként.
Schachner hasonlóképpen azt javasolta, hogy az UEFI firmware-frissítések kiadásukkor történő telepítése segít a felhasználóknak olyan biztonsági javítások beépítésében, amelyek jobban megvédik számítógépüket az olyan új fenyegetésekkel szemben, mint a MoonBounce.
Továbbá olyan biztonsági platformok használatát is javasolta, amelyek tartalmazzák a firmware-fenyegetés észlelését. "Ezek a biztonsági megoldások lehetővé teszik a felhasználók számára, hogy a lehető leghamarabb tájékoztassák a lehetséges firmware-fenyegetéseket, hogy azokat időben kezelni lehessen, mielőtt a fenyegetések eszkalálódnának."
