Atslēgas līdzņemšanai
- Drošības pētnieki ir atklājuši unikālu ļaunprātīgu programmatūru, kas inficē mātesplates zibatmiņu.
- Ļaunprātīgo programmatūru ir grūti noņemt, un pētnieki vēl nesaprot, kā tā vispār nokļūst datorā.
-
Bootkit ļaunprātīga programmatūra turpinās attīstīties, brīdina pētnieki.
Datora dezinficēšana prasa zināmas darbības. Jauna ļaunprogrammatūra padara uzdevumu vēl apgrūtinošāku, jo drošības pētnieki ir atklājuši, ka tā ir tik dziļi iegulta datorā, ka, iespējams, jums būs jāiznīcina mātesplate, lai no tās atbrīvotos.
Kaspersky drošības meklētāji, kas to atklāja, nodēvējuši par MoonBounce, ļaunprogrammatūra, ko tehniski sauc par sāknēšanas komplektu, šķērso cieto disku un iekļūst datora Unified Extensible Firmware Interface (UEFI) sāknēšanas programmaparatūrā.
"Uzbrukums ir ļoti sarežģīts," e-pastā Lifewire pastāstīja Tomers Bars, SafeBreach drošības pētījumu direktors. "Kad upuris ir inficēts, tas ir ļoti noturīgs, jo pat cietā diska formāts nepalīdzēs."
Romāni draudi
Bootkit ļaunprātīga programmatūra ir reta, taču ne pilnīgi jauna, jo pati Kaspersky pēdējo pāris gadu laikā ir atklājusi divas citas. Tomēr MoonBounce unikālu padara tas, ka tā inficē mātesplatē esošo zibatmiņu, padarot to necaurlaidīgu pret pretvīrusu programmatūru un visiem citiem parastajiem ļaunprātīgas programmatūras noņemšanas līdzekļiem.
Patiesībā Kaspersky pētnieki atzīmē, ka lietotāji var pārinstalēt operētājsistēmu un nomainīt cieto disku, taču sāknēšanas komplekts joprojām paliks inficētajā datorā, līdz lietotāji vai nu atkārtoti mirgo inficēto zibatmiņu, ko viņi apraksta. kā "ļoti sarežģītu procesu" vai pilnībā nomainiet mātesplati.
Ļaunprātīgu programmatūru padara vēl bīstamāku, Bar piebilda, ka ļaunprogrammatūra ir bez failiem, kas nozīmē, ka tā nepaļaujas uz failiem, kurus pretvīrusu programmas var atzīmēt, un neatstāj redzamu pēdu inficētajā datorā, padarot to ļoti ļoti grūti izsekot.
Pamatojoties uz ļaunprogrammatūras analīzi, Kaspersky pētnieki atzīmē, ka MoonBounce ir pirmais solis daudzpakāpju uzbrukumā. MoonBounce negodīgie dalībnieki izmanto ļaunprogrammatūru, lai nostiprinātu pamatu upura datorā, ko pēc tam var izmantot, lai izvietotu papildu draudus datu nozagšanai vai izspiedējprogrammatūras izvietošanai.
Tomēr glābiņš ir tas, ka pētnieki līdz šim ir atraduši tikai vienu ļaunprātīgas programmatūras gadījumu. "Tomēr tas ir ļoti sarežģīts koda kopums, kas rada bažas; ja nekas cits, tas liecina par citas, progresīvas ļaunprātīgas programmatūras iespējamību nākotnē," Tims Helmings, DomainTools drošības evaņģēlists, brīdināja Lifewire pa e-pastu.
Terēza Šanere, VPNBrains kiberdrošības konsultante, piekrita. "Tā kā MoonBounce ir īpaši slepens, iespējams, ka ir papildu MoonBounce uzbrukumu gadījumi, kas vēl nav atklāti."
Inokulē datoru
Pētnieki atzīmē, ka ļaunprogrammatūra tika atklāta tikai tāpēc, ka uzbrucēji kļūdījās, izmantojot tos pašus saziņas serverus (tehniski pazīstamus kā komandu un kontroles serverus) kā citu zināmu ļaunprātīgu programmatūru.
Tomēr Helmings piebilda, ka, tā kā nav skaidrs, kā notiek sākotnējā infekcija, ir praktiski neiespējami sniegt ļoti konkrētus norādījumus, kā izvairīties no inficēšanās. Tomēr labs sākums ir ievērot vispāratzītās drošības paraugprakses.
"Kamēr pati ļaunprogrammatūra attīstās, pamatdarbības, no kurām vidusmēra lietotājam vajadzētu izvairīties, lai sevi aizsargātu, nav īsti mainījušās. Ir svarīgi atjaunināt programmatūru, jo īpaši drošības programmatūru. Izvairīšanās no noklikšķināšanas uz aizdomīgām saitēm joprojām ir laba stratēģija," Tims Erlins, Tripwire stratēģijas viceprezidents, ieteica Lifewire pa e-pastu.
… iespējams, ka ir papildu MoonBounce uzbrukumu gadījumi, kas vēl nav atklāti.
Papildus šim ieteikumam Stīvens Geitss, Checkmarx drošības evaņģēlists, e-pastā Lifewire pastāstīja, ka vidusmēra galddatoru lietotājam ir jāizmanto ne tikai tradicionālie pretvīrusu rīki, kas nevar novērst bezfailu uzbrukumus, piemēram, MoonBounce.
"Meklējiet rīkus, kas var izmantot skriptu kontroli un atmiņas aizsardzību, un mēģiniet izmantot lietojumprogrammas no organizācijām, kurās tiek izmantotas drošas, modernas lietojumprogrammu izstrādes metodes, sākot no kopas apakšas līdz augšai," ieteica Geitss.
No otras puses, Bar atbalstīja tādu tehnoloģiju izmantošanu kā SecureBoot un TPM, lai pārbaudītu, vai sāknēšanas programmaparatūra nav modificēta kā efektīvs paņēmiens pret bootkit ļaunprātīgu programmatūru.
Schachner līdzīgi domāja, ka UEFI programmaparatūras atjauninājumu instalēšana, tiklīdz tie tiek izlaisti, palīdzēs lietotājiem iekļaut drošības labojumus, kas labāk aizsargā viņu datorus pret jauniem draudiem, piemēram, MoonBounce.
Turklāt viņa ieteica izmantot drošības platformas, kurās ir iekļauta programmaparatūras draudu noteikšana. "Šie drošības risinājumi ļauj lietotājiem pēc iespējas ātrāk saņemt informāciju par iespējamiem programmaparatūras draudiem, lai tos varētu savlaicīgi novērst, pirms draudi saasinās."
