Page d'accueil Sécurité Qu'est-ce que le rootkit UEFI «LoJax» développé par des pirates informatiques russes?

Qu'est-ce que le rootkit UEFI «LoJax» développé par des pirates informatiques russes?

  • Michael Cain
  • 0
  • 5287
  • 1257
Publicité

Un rootkit est un type de malware particulièrement méchant. UNE “régulier” L’infection par logiciels malveillants se charge lorsque vous entrez dans le système d’exploitation. La situation est toujours mauvaise, mais un antivirus correct devrait supprimer le malware et nettoyer votre système..

Inversement, un rootkit s’installe sur le micrologiciel de votre système et permet l’installation d’une charge utile illicite à chaque redémarrage du système..

Les chercheurs en sécurité ont repéré une nouvelle variante du rootkit, nommée LoJax. Qu'est-ce qui distingue ce rootkit des autres? Eh bien, il peut infecter les systèmes modernes basés sur UEFI, plutôt que les anciens systèmes basés sur le BIOS. Et c'est un problème.

Le rootkit UEFI LoJax

ESET Research a publié un document de recherche détaillant LoJax, un rootkit récemment découvert (qu'est-ce qu'un rootkit?), Qui transforme avec succès un logiciel commercial du même nom. (Bien que l’équipe de recherche ait baptisé le malware “LoJax,” le logiciel authentique est nommé “LoJack.”)

En ajoutant à la menace, LoJax peut survivre à une réinstallation complète de Windows et même au remplacement du disque dur.

Le logiciel malveillant survit en attaquant le système de démarrage du microprogramme UEFI. D'autres rootkits peuvent se cacher dans des pilotes ou des secteurs d'amorçage Qu'est-ce qu'un bootkit et Nemesis est-il une menace réelle? Qu'est-ce qu'un bootkit et Nemesis est-il une menace réelle? Les pirates continuent de trouver des moyens de perturber votre système, tels que le bootkit. Regardons ce qu'est un bootkit, comment fonctionne la variante Nemesis et considérons ce que vous pouvez faire pour rester clair. , en fonction de leur codage et de l’intention de l’attaquant. LoJax se connecte au micrologiciel du système et réinfecte le système avant même le chargement du système d'exploitation..

Pour l'instant, la seule méthode connue pour supprimer complètement le malware LoJax consiste à faire clignoter un nouveau firmware sur le système suspect. Procédure de mise à jour de votre BIOS UEFI sous Windows Procédure de mise à jour de votre BIOS UEFI sous Windows La plupart des utilisateurs d'ordinateurs utilisent ce logiciel sans mettre à jour leur BIOS. Cependant, si vous tenez à la stabilité, vous devez vérifier périodiquement si une mise à jour est disponible. Nous vous montrons comment mettre à jour votre BIOS UEFI en toute sécurité. . La plupart des utilisateurs n'ont pas d'expérience avec un firmware flash. Bien qu’il soit plus facile que par le passé, il est toujours significatif que le flashage d’un micrologiciel échouera, ce qui risquerait de faire mal à la machine en question..

Comment fonctionne le rootkit LoJax?

LoJax utilise une version reconditionnée du logiciel antivol LoJack d’Absolute Software. L'outil d'origine est conçu pour être persistant tout au long de l'effacement du système ou du remplacement du disque dur afin que le détenteur de licence puisse suivre un périphérique volé. Les raisons pour lesquelles l'outil s'enfonce si profondément dans l'ordinateur sont assez légitimes, et LoJack est toujours un produit antivol populaire pour ces qualités exactes..

Étant donné qu'aux États-Unis, 97% des ordinateurs portables volés ne sont jamais récupérés, il est compréhensible que les utilisateurs souhaitent une protection supplémentaire pour un investissement aussi coûteux..

LoJax utilise un pilote de noyau, RwDrv.sys, accéder aux paramètres BIOS / UEFI. Le pilote du noyau est fourni avec RWEverything, un outil légitime utilisé pour lire et analyser les paramètres d’ordinateur de bas niveau (bits auxquels vous n’avez normalement pas accès). Le processus d’infection par rootkit LoJax comportait trois autres outils:

  • Le premier outil exporte des informations sur les paramètres système de bas niveau (copiés de RWEverything) dans un fichier texte. Pour contourner la protection du système contre les mises à jour de microprogrammes malveillants, vous devez connaître le système..
  • Le deuxième outil “enregistre une image du micrologiciel du système dans un fichier en lisant le contenu de la mémoire flash SPI.” La mémoire flash SPI héberge le UEFI / BIOS.
  • Un troisième outil ajoute le module malveillant à l’image du firmware puis le réécrit dans la mémoire flash SPI.

Si LoJax réalise que la mémoire flash SPI est protégée, il exploite une vulnérabilité connue (CVE-2014-8273) pour y accéder, puis continue et écrit le rootkit en mémoire..

D'où vient LoJax??

L’équipe de recherche ESET estime que LoJax est l’œuvre du tristement célèbre groupe russe de piratage Fancy Bear / Sednit / Strontium / APT28. Le groupe de piratage informatique est responsable de plusieurs attaques majeures ces dernières années.

LoJax utilise les mêmes serveurs de commande et de contrôle que SedUploader, un autre malware de la porte dérobée Sednit. LoJax contient également des liens et des traces d'autres programmes malveillants Sednit, notamment XAgent (un autre outil de porte dérobée) et XTunnel (un outil de proxy réseau sécurisé)..

En outre, la recherche ESET a révélé que les opérateurs de programmes malveillants “utilisé différents composants du malware LoJax pour cibler quelques organisations gouvernementales dans les Balkans ainsi qu'en Europe centrale et orientale.”

LoJax n'est pas le premier rootkit UEFI

La nouvelle de LoJax a certainement amené le monde de la sécurité à prendre note. Cependant, ce n'est pas le premier rootkit UEFI. L'équipe de piratage informatique (un groupe malveillant, au cas où vous l'auriez demandé) utilisait un rootkit UEFI / BIOS en 2015 pour conserver un agent de système de contrôle à distance installé sur les systèmes cibles..

La principale différence entre le rootkit UEFI de l'équipe de piratage et LoJax réside dans le mode de livraison. À l'époque, les chercheurs en sécurité estimaient que l'équipe de piratage avait besoin d'un accès physique à un système pour installer l'infection au niveau du microprogramme. Bien sûr, si quelqu'un a un accès direct à votre ordinateur, il peut faire ce qu'il veut. Pourtant, le rootkit UEFI est particulièrement méchant.

Votre système est-il menacé par LoJax?

Les systèmes modernes basés sur UEFI présentent plusieurs avantages distincts par rapport à leurs homologues plus anciens basés sur le BIOS.

D'une part, ils sont plus récents. Un nouveau matériel n'est pas la solution idéale, mais il facilite beaucoup de tâches informatiques.

Deuxièmement, le micrologiciel UEFI comporte également quelques fonctionnalités de sécurité supplémentaires. Le démarrage sécurisé est particulièrement intéressant, car il ne permet que les programmes portant une signature numérique signée.

Si cette option est désactivée et que vous rencontrez un rootkit, vous passerez un mauvais moment. Secure Boot est également un outil particulièrement utile à l’ère des ransomwares. Découvrez la vidéo suivante de Secure Boot traitant du très dangereux ransomware NotPetya:

NotPetya aurait tout chiffré sur le système cible si Secure Boot avait été désactivé.

LoJax est un genre de bête totalement différent. Contrairement aux rapports précédents, même le démarrage sécurisé ne peut pas arrêter LoJax. Garder votre micrologiciel UEFI à jour est extrêmement important. Il existe des outils anti-rootkit spécialisés. Guide de suppression complète des programmes malveillants Guide de suppression complète des logiciels malveillants Les logiciels malveillants sont omniprésents de nos jours et éliminer les logiciels malveillants de votre système est un processus long qui nécessite des instructions. Si vous pensez que votre ordinateur est infecté, c’est le guide dont vous avez besoin. aussi, mais on ne sait pas s'ils peuvent se protéger contre LoJax.

Cependant, à l'instar de nombreuses menaces présentant ce niveau de capacité, votre ordinateur est une cible de choix. Les logiciels malveillants avancés se concentrent principalement sur des cibles de haut niveau. En outre, LoJax a les indications d'une implication d'acteurs menaçants d'un État-nation; une autre chance forte que LoJax ne vous affecte pas à court terme. Cela dit, les logiciels malveillants sont un moyen de filtrer dans le monde. Si les cybercriminels découvrent l'utilisation réussie de LoJax, il pourrait devenir plus courant dans les attaques de logiciels malveillants classiques.

Comme toujours, la mise à jour de votre système est l’un des meilleurs moyens de le protéger. Un abonnement Malwarebytes Premium est également une aide précieuse. 5 raisons de mettre à niveau vers Malwarebytes Premium: Oui, ça vaut le coup 5 raisons de mettre à niveau vers Malwarebytes Premium: Oui, ça vaut le coup Même si la version gratuite de Malwarebytes est géniale, la version premium contient de nombreuses fonctionnalités utiles et utiles..




Personne n'a encore commenté ce post.

3 principaux widgets de hashtag pour Instagram comparés
Des médias sociaux
Comment utilisez-vous les médias sociaux? La théorie des réseaux sociaux en 20 ans
Des médias sociaux
5 applications gratuites pour raconter des histoires créatives sur Instagram
Des médias sociaux
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.