  |
Za poslednú hodinu: 127 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Utorok, 26. novembra 2024, dnes má meniny Kornel |
|
Identifikovaný počítač s UEFI / BIOS vírusom, trvalo infikuje Windows
bezpečnosť
Koncept škodlivého kódu infikujúceho firmvéry rozličných typov aj UEFI počítačov nie je ničím novým, bezpečnostní experti sa akademicky takýmto typom škodlivého kódu zaoberajú už dlhšie a evidentne ho niektoré nástroje aj využívajú, čo potvrdili úniky z nedávnej minulosti. Okrem iného UEFI rootkit označený rkloader mal byť spomenutý v dátach uniknutých zo spoločnosti Hacking Team a DerStarke určený pre Macy zase v úniku Vault7. Doteraz zrejme verejne ale neboli detailne popísané schopnosti takéhoto škodlivého kódu ani sa neobjavili informácie o detekcii jeho reálneho použitia. V máji tohto roku ale spoločnosť Arbor Networks upozornila na detekciu modifikovaného legitímneho Windows komponentu softvéru LoJack slúžiaceho na stopovanie počítačov po krádeži, ktorý bol ale modifikovaný aby kontaktoval riadiace servery útočníkov. Originálny LoJack využíva aj UEFI modul na zabezpečenie svojej trvalej prítomnosti, napríklad po preinštalovaní operačného systému. Ako sa dostali ale modifikované vzorky Windows komponentu na počítače Arbor Networks nepotvrdila. Na tieto informácie ale nadviazala antivírusová spoločnosť Eset, ktorá identifikovala na počítačoch infikovaných týmto Windows komponentom aj ďalší softvér schopný vložiť do UEFI škodlivý modul. Hrozbu označila spoločným názvom LoJax. SPI flash pamäť, v ktorej sa nacháza UEFI, má bežne ochrany proti neautorizovanému nahraniu firmvéru. Identifikovaný škodlivý kód pre nahrávanie podľa spoločnosti je účinný len ak sú tieto ochrany zle nakonfigurované alebo zraniteľné. Identifikovaný softvér respektíve UEFI modul boli navyše špecifické pre bližšie nešpecifikovaný konkrétny firmvér a nepoužiteľné na ľubovoľných počítačoch, spoločnosť ale mohla modul aspoň analyzovať. Škodlivý UEFI modul sa správa a realizuje podobné činnosti ako legitímny UEFI modul softvéru LoJack. Pri bootovaní vyhľadáva systémovú partíciu Windows so súborovým systémom NTFS a modifikuje ju vložením škodlivých Windows komponentov. To zabezpečuje, že infekcia počítača je trvalá pokiaľ užívateľ používa Windows a pokračuje aj ak užívateľ preinštaluje operačný systém alebo použije nový disk. Spoločnosť zároveň pomocou svojho skenera UEFI našla aj "minimálne jeden" počítač, na ktorom bol škodlivý UEFI modul reálne pridaný do UEFI. Už Arbor Networks prisúdila hrozbu pravdepodobne hackerskej skupine Fancy Bear / APT28 / Sednit na základe použitých serverov, Eset tak spravil aj na základe ďalších komponentov nachádzajúcich sa na infikovaných počítačoch. Podľa spoločnosti boli rozličné komponenty LoJax identifikované v niekoľkých vládnych organizáciách na Balkáne, v Strednej a Východnej Európe. Čo sa týka ochrany, v prvom rade voči konkrétnemu identifikovanému škodlivému UEFI modulu je ochrana jednoduchá v podobe zapnutie bezpečného bootovania Secure Boot. Tento modul totiž podľa Esetu nie je podpísaný a pri aktivovanom Secure Boot sa nespustí. Čo sa týka vyčistenia, potrebné je uskutočniť opätovné nahratie originálneho firmvéru. Či je takéto opatrenie účinné v prípade všetkých infekcií UEFI nie je jasné. Samozrejme škodlivý kód sa najskôr ale musí nejakým spôsobom do počítača dostať a spustiť, aby mohol infikovať UEFI. Dôležitým je tak dodržiavanie všeobecných bezpečnostných zásad proti akejkoľvek infekcii a bezpečnostnej hrozbe. 
Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
