Võtmed kaasavõtmiseks
- Turvauurijad avastasid ainulaadse pahavara, mis nakatab emaplaadi välkmälu.
- Pahavara on raske eemaldada ja teadlased ei mõista veel, kuidas see üldse arvutisse satub.
-
Bootkiti pahavara areneb edasi, hoiatavad teadlasi.
Arvuti desinfitseerimine nõuab omajagu tööd. Uus pahavara muudab ülesande veelgi kohmakamaks, kuna turvateadlased on avastanud, et see põimib end nii sügavale arvutisse, et tõenäoliselt peate sellest vabanemiseks emaplaadi lahti võtma.
Selle avastanud Kaspersky turvaotsijad nimetasid MoonBounce'iks. Pahavara, mida tehniliselt nimetatakse alglaadimiskomplektiks, läbib kõvakettast kaugemale ja tungib arvuti Unified Extensible Firmware Interface (UEFI) alglaadimispüsivarasse.
"Rünnak on väga keerukas," ütles SafeBreachi turbeuuringute direktor Tomer Bar Lifewire'ile meili teel. "Kui ohver on nakatunud, on see väga püsiv, sest isegi kõvaketta vorming ei aita."
Uudne oht
Bootkiti pahavara on haruldane, kuid mitte täiesti uus, kuna Kaspersky ise on viimase paari aasta jooksul avastanud kaks teist. MoonBounce'i teeb aga ainulaadseks see, et see nakatab emaplaadil asuva välkmälu, muutes selle viirusetõrjetarkvara ja kõigi muude tavaliste pahavara eemaldamise vahendite suhtes läbitungimatuks.
Tegelikult märgivad Kaspersky teadlased, et kasutajad saavad operatsioonisüsteemi uuesti installida ja kõvaketta asendada, kuid alglaadimiskomplekt jääb nakatunud arvutisse seniks, kuni kasutajad kas nakatunud välkmälu uuesti välgutavad, mida nad kirjeldavad. kui "väga keeruline protsess" või asendage emaplaat täielikult.
Pahavara teeb veelgi ohtlikumaks, lisas Bar, et pahavara on failivaba, mis tähendab, et see ei tugine failidele, mida viirusetõrjeprogrammid märgistada saavad, ega jäta nakatunud arvutisse nähtavat jälge, muutes selle väga suureks. raske jälgida.
Pahavara analüüsi põhjal märgivad Kaspersky teadlased, et MoonBounce on mitmeastmelise rünnaku esimene samm. MoonBounce'i taga olevad petturid kasutavad pahavara ohvri arvutisse tugipunkti loomiseks, mida saab seejärel kasutada täiendavate ohtude juurutamiseks andmete varastamiseks või lunavara juurutamiseks.
Päästvaks armuks on aga see, et teadlased on siiani leidnud ainult ühe pahavara eksemplari. "Kuid see on väga keerukas koodikomplekt, mis on murettekitav; kui mitte midagi muud, siis kuulutab see muu, arenenud pahavara tõenäosust tulevikus," hoiatas DomainToolsi turvaevangelist Tim Helming Lifewire'i meili teel.
Therese Schachner, VPNBrainsi küberturbe konsultant, nõustus. "Kuna MoonBounce on eriti varjatud, on võimalik, et on veel MoonBounce'i rünnakuid, mida pole veel avastatud."
Inokuleerige oma arvuti
Teadlased märgivad, et pahavara tuvastati ainult seetõttu, et ründajad tegid vea, kasutades samu sideservereid (tehniliselt tuntud kui käsu- ja juhtimisserverid) kui teist teadaolevat pahavara.
Samas lisas Helming, et kuna pole selge, kuidas esmane nakatumine toimub, on praktiliselt võimatu anda väga konkreetseid juhiseid, kuidas nakatumist vältida. Hästi aktsepteeritud turvalisuse parimate tavade järgimine on siiski hea algus.
"Kuigi pahavara ise areneb, ei ole põhilised käitumisviisid, mida tavakasutaja peaks enda kaitsmiseks vältima, tegelikult muutunud. Tarkvara, eriti turbetarkvara, ajakohasena hoidmine on oluline. Kahtlastel linkidel klõpsamise vältimine jääb heaks strateegiaks," soovitas Tim Erlin, Tripwire'i strateegia asepresident Lifewire'ile meili teel.
… on võimalik, et on veel MoonBounce'i rünnakuid, mida pole veel avastatud.
Lisaks sellele soovitusele ütles Checkmarxi turvaevangelist Stephen Gates Lifewire'ile meili teel, et keskmine lauaarvuti kasutaja peab minema kaugemale traditsioonilistest viirusetõrjevahenditest, mis ei suuda ära hoida failita ründeid, nagu MoonBounce.
"Otsige tööriistu, mis võivad kasutada skriptijuhtimist ja mälukaitset, ning proovige kasutada rakendusi organisatsioonidelt, mis kasutavad turvalisi ja kaasaegseid rakenduste arendusmetoodikaid, alates virna alt üles," soovitas Gates.
Bar aga propageeris selliste tehnoloogiate kasutamist, nagu SecureBoot ja TPM, et kontrollida, kas alglaadimispüsivara ei ole muudetud kui tõhusat leevendamistehnikat alglaadimiskomplekti pahavara vastu.
Schachner soovitas sarnastel seisukohtadel, et UEFI püsivara värskenduste installimine nende väljalaskmisel aitab kasutajatel lisada turvaparandusi, mis kaitsevad paremini nende arvuteid esilekerkivate ohtude, nagu MoonBounce, eest.
Lisaks soovitas ta kasutada turvaplatvorme, mis sisaldavad püsivaraohu tuvastamist. "Need turvalahendused võimaldavad kasutajaid võimalikult kiiresti teavitada võimalikest püsivaraohtudest, et nendega saaks õigeaegselt tegeleda, enne kui ohud eskaleeruvad."
