Ключови изводи
- Изследователи по сигурността са открили уникален зловреден софтуер, който заразява флаш паметта на дънната платка.
- Зловредният софтуер е труден за премахване и изследователите все още не разбират как изобщо попада в компютъра.
-
Зловреден софтуер Bootkit ще продължи да се развива, предупреждават изследователите.
Дезинфекцията на компютър отнема известно време. Нов зловреден софтуер прави задачата още по-тромава, тъй като изследователите по сигурността са открили, че се вгражда толкова дълбоко в компютъра, че вероятно ще трябва да хвърлите дънната платка, за да се отървете от него.
Наречен MoonBounce от детективите по сигурността в Kaspersky, които го откриха, злонамереният софтуер, технически наречен bootkit, преминава отвъд твърдия диск и се заравя във фърмуера за стартиране на Unified Extensible Firmware Interface (UEFI) на компютъра.
"Атаката е много сложна", каза Томер Бар, директор на отдела за изследване на сигурността в SafeBreach, пред Lifewire по имейл. „След като жертвата бъде заразена, тя е много упорита, тъй като дори форматирането на твърдия диск няма да помогне.“
Нова заплаха
Зловреден софтуер Bootkit е рядък, но не е напълно нов, като самият Kaspersky откри два други през последните няколко години. Въпреки това, това, което прави MoonBounce уникален е, че заразява флаш паметта, разположена на дънната платка, което я прави непроницаема за антивирусен софтуер и всички други обичайни средства за премахване на зловреден софтуер.
Всъщност изследователите на Kaspersky отбелязват, че потребителите могат да преинсталират операционната система и да заменят твърдия диск, но bootkit ще продължи да остава на заразения компютър, докато потребителите не флашнат отново заразената флаш памет, която описват като "много сложен процес", или да смените изцяло дънната платка.
Това, което прави зловредния софтуер още по-опасен, добави Бар, е, че злонамереният софтуер е безфайлов, което означава, че не разчита на файлове, които антивирусните програми могат да маркират, и не оставя видим отпечатък върху заразения компютър, което го прави много трудно за проследяване.
Въз основа на своя анализ на злонамерения софтуер, изследователите на Kaspersky отбелязват, че MoonBounce е първата стъпка в многоетапна атака. Нелоялните актьори зад MoonBounce използват злонамерения софтуер, за да установят опорна точка в компютъра на жертвата, който те разбират, че след това може да се използва за внедряване на допълнителни заплахи за кражба на данни или внедряване на ransomware.
Спасителното обаче е, че изследователите са открили само един екземпляр на зловреден софтуер досега. „Въпреки това, това е много сложен набор от код, който е тревожен; ако не друго, той предвещава вероятността от друг, усъвършенстван злонамерен софтуер в бъдеще“, Тим Хелминг, евангелист на сигурността с DomainTools, предупреди Lifewire по имейл.
Терез Шахнер, консултант по киберсигурност във VPNBrains, се съгласи. „Тъй като MoonBounce е особено скрит, възможно е да има допълнителни случаи на MoonBounce атаки, които все още не са открити.“
Инокулирайте компютъра си
Изследователите отбелязват, че злонамереният софтуер е открит само защото нападателите са направили грешката да използват същите комуникационни сървъри (технически известни като командни и контролни сървъри) като друг известен зловреден софтуер.
Въпреки това, Хелминг добави, че тъй като не е ясно как се осъществява първоначалната инфекция, е практически невъзможно да се дадат много конкретни указания как да се избегне заразяването. Следването на добре приетите най-добри практики за сигурност обаче е добро начало.
"Докато самият злонамерен софтуер напредва, основните поведения, които обикновеният потребител трябва да избягва, за да се защити, всъщност не са се променили. Поддържането на софтуера актуален, особено софтуера за сигурност, е важно. Избягването на щракване върху подозрителни връзки остава добра стратегия, " Тим Ерлин, вицепрезидент по стратегията в Tripwire, предложи на Lifewire по имейл.
… възможно е да има допълнителни случаи на атаки MoonBounce, които все още не са открити.
В допълнение към това предложение, Стивън Гейтс, евангелист на сигурността в Checkmarx, каза на Lifewire по имейл, че средният потребител на настолен компютър трябва да надхвърли традиционните антивирусни инструменти, които не могат да предотвратят атаки без файлове, като MoonBounce.йени
"Потърсете инструменти, които могат да използват контрола на скриптовете и защитата на паметта, и се опитайте да използвате приложения от организации, които използват сигурни, модерни методологии за разработка на приложения, от дъното на стека до върха", предложи Гейтс.
Бар, от друга страна, препоръчва използването на технологии, като SecureBoot и TPM, за да се провери дали фърмуерът за зареждане не е модифициран като ефективна техника за смекчаване срещу зловреден софтуер за bootkit.
Schachner, по подобен начин, предположи, че инсталирането на актуализации на фърмуера на UEFI, когато бъдат пуснати, ще помогне на потребителите да включат корекции за сигурност, които по-добре защитават техните компютри срещу нововъзникващи заплахи като MoonBounce.
Освен това тя също препоръча използването на платформи за сигурност, които включват откриване на заплахи от фърмуера. „Тези решения за сигурност позволяват на потребителите да бъдат информирани за потенциални заплахи за фърмуера възможно най-скоро, така че те да могат да бъдат адресирани своевременно, преди заплахите да ескалират.“