Sleutel wegneemetes
- Sekuriteitsnavorsers het 'n unieke wanware ontdek wat die flitsgeheue op die moederbord besmet.
- Die wanware is moeilik om te verwyder, en navorsers verstaan nog nie hoe dit in die eerste plek by die rekenaar inkom nie.
-
Bootkit-wanware sal voortgaan om te ontwikkel, waarsku navorsers.
Om 'n rekenaar te ontsmet verg 'n bietjie doen soos dit is. 'n Nuwe wanware maak die taak nog meer omslagtig aangesien sekuriteitsnavorsers ontdek het dat dit homself so diep in die rekenaar ingebed het dat jy waarskynlik die moederbord sal moet gooi om daarvan ontslae te raak.
Dubbed MoonBounce deur die sekuriteitsspeurders by Kaspersky wat dit ontdek het, die wanware, wat tegnies 'n selflaaistel genoem word, beweeg verby die hardeskyf en grawe homself in die rekenaar se Unified Extensible Firmware Interface (UEFI) selflaaifirmware.
"Die aanval is baie gesofistikeerd," het Tomer Bar, direkteur van sekuriteitsnavorsing by SafeBreach, per e-pos aan Lifewire gesê. "As die slagoffer eers besmet is, is dit baie aanhoudend aangesien selfs 'n hardeskyfformaat nie sal help nie."
Romanbedreiging
Bootkit-wanware is skaars, maar nie heeltemal nuut nie, met Kaspersky self wat twee ander in die afgelope paar jaar ontdek het. Wat MoonBounce egter uniek maak, is dat dit die flitsgeheue wat op die moederbord geleë is, besmet, wat dit ondeurdringbaar maak vir antivirusprogrammatuur en al die ander gewone maniere om wanware te verwyder.
Om die waarheid te sê, die Kaspersky-navorsers merk op dat gebruikers die bedryfstelsel kan herinstalleer en die hardeskyf kan vervang, maar die selflaaistel sal aanhou om op die besmette rekenaar te bly totdat gebruikers die geïnfekteerde flitsgeheue weer flits, wat hulle beskryf as "'n baie komplekse proses," of vervang die moederbord heeltemal.
Wat die wanware nog gevaarliker maak, het Bar bygevoeg, is dat die wanware lêerloos is, wat beteken dit maak nie staat op lêers wat antivirusprogramme kan vlag nie en laat geen oënskynlike voetspoor op die besmette rekenaar nie, wat dit baie maak moeilik om op te spoor.
Op grond van hul ontleding van die wanware, merk die Kaspersky-navorsers op dat MoonBounce die eerste stap in 'n multi-stadium aanval is. Die skelm akteurs agter MoonBounce gebruik die wanware om 'n vastrapplek in die slagoffer se rekenaar te vestig, wat hulle dan gebruik kan word om bykomende bedreigings te ontplooi om data te steel of losprysware te ontplooi.
Die reddende genade is egter dat die navorsers tot nou toe net een geval van die wanware gevind het. "Dit is egter 'n baie gesofistikeerde stel kode, wat kommerwekkend is; indien niks anders nie, verkondig dit die waarskynlikheid van ander, gevorderde wanware in die toekoms," het Tim Helming, sekuriteitsevangelis by DomainTools, Lifewire per e-pos gewaarsku.
Therese Schachner, kuberveiligheidskonsultant by VPNBrains het ingestem. "Aangesien MoonBounce besonder sluipagtig is, is dit moontlik dat daar bykomende gevalle van MoonBounce-aanvalle is wat nog nie ontdek is nie."
Ent jou rekenaar
Die navorsers neem kennis dat die wanware net opgespoor is omdat die aanvallers die fout gemaak het om dieselfde kommunikasiebedieners (tegnies bekend as die opdrag- en beheerbedieners) as 'n ander bekende wanware te gebruik.
Helming het egter bygevoeg dat aangesien dit nie duidelik is hoe die aanvanklike infeksie plaasvind nie, dit feitlik onmoontlik is om baie spesifieke aanwysings te gee oor hoe om besmetting te vermy. Dit is egter 'n goeie begin om die goed aanvaarde sekuriteitspraktyke te volg.
"Terwyl wanware self vorder, het die basiese gedrag wat die gemiddelde gebruiker moet vermy om hulself te beskerm, nie regtig verander nie. Om sagteware op datum te hou, veral sekuriteitsagteware, is belangrik. Om te vermy om op verdagte skakels te klik, bly 'n goeie strategie," het Tim Erlin, VP van strategie by Tripwire, per e-pos aan Lifewire voorgestel.
… dit is moontlik dat daar bykomende gevalle van MoonBounce-aanvalle is wat nog nie ontdek is nie.
Om by daardie voorstel te voeg, het Stephen Gates, Sekuriteitsevangelis by Checkmarx, per e-pos aan Lifewire gesê dat die gemiddelde rekenaargebruiker verder moet gaan as tradisionele antivirusnutsgoed, wat nie lêerlose aanvalle, soos MoonBounce, kan voorkom nie.
"Soek vir gereedskap wat skrifbeheer en geheuebeskerming kan benut, en probeer om toepassings te gebruik van organisasies wat veilige, moderne toepassingsontwikkelingsmetodologieë gebruik, van die onderkant van die stapel na bo," het Gates voorgestel.
Bar, aan die ander kant, het die gebruik van tegnologieë, soos SecureBoot en TPM, voorgestaan om te verifieer dat die selflaai-firmware nie gewysig is as 'n effektiewe versagtingstegniek teen selflaaiprogram-wanware nie.
Schachner het op soortgelyke wyse voorgestel dat die installering van UEFI-firmware-opdaterings soos dit vrygestel word gebruikers sal help om sekuriteitsoplossings in te sluit wat hul rekenaars beter beskerm teen opkomende bedreigings soos MoonBounce.
Verder het sy ook aanbeveel om sekuriteitsplatforms te gebruik wat fermwarebedreigingopsporing insluit. "Hierdie sekuriteitsoplossings stel gebruikers in staat om so gou moontlik ingelig te word van potensiële firmware-bedreigings sodat hulle betyds aangespreek kan word voordat die bedreigings eskaleer."
