Seguridad

¿Qué es el rootkit UEFI LoJax desarrollado por los hackers rusos?

¿Qué es el rootkit UEFI LoJax desarrollado por los hackers rusos? / Seguridad

Un rootkit es un tipo de malware particularmente desagradable. UNA “regular” La infección de malware se carga cuando se ingresa al sistema operativo. Sigue siendo una mala situación, pero un antivirus decente debería eliminar el malware y limpiar su sistema.

A la inversa, un rootkit se instala en el firmware de su sistema y permite la instalación de una carga útil maliciosa cada vez que reinicia su sistema.

Los investigadores de seguridad han descubierto una nueva variante de rootkit en su hábitat natural, llamada LoJax. ¿Qué distingue a este rootkit de los demás? Bueno, puede infectar los sistemas modernos basados ​​en UEFI, en lugar de los antiguos sistemas basados ​​en BIOS. Y eso es un problema..

El LoJax UEFI Rootkit

ESET Research publicó un artículo de investigación que detalla LoJax, un rootkit recién descubierto (¿qué es un rootkit?) Que reutiliza con éxito un software comercial del mismo nombre. (Aunque el equipo de investigación bautizó el malware “LoJax,” el software original se llama “LoJack.”)

Además de la amenaza, LoJax puede sobrevivir a una reinstalación completa de Windows e incluso a la sustitución del disco duro.

El malware sobrevive atacando el sistema de arranque de firmware UEFI. Otros rootkits pueden ocultarse en los controladores o sectores de arranque. ¿Qué es un kit de arranque, y es Nemesis una amenaza genuina? ¿Qué es un kit de arranque, y es Nemesis una amenaza genuina? Los piratas informáticos siguen encontrando formas de interrumpir su sistema, como el bootkit. Veamos qué es un bootkit, cómo funciona la variante de Nemesis, y consideremos qué puedes hacer para mantenerte claro. Leer más, dependiendo de su codificación y la intención del atacante. LoJax se conecta al firmware del sistema y vuelve a infectar el sistema antes de que el sistema operativo se cargue..

Hasta ahora, el único método conocido para eliminar por completo el malware LoJax es actualizar el nuevo firmware sobre el sistema sospechoso. Cómo actualizar su BIOS UEFI en Windows Cómo actualizar su BIOS UEFI en Windows La mayoría de los usuarios de PC lo hacen sin actualizar su BIOS. Sin embargo, si se preocupa por la estabilidad continua, debe verificar periódicamente si hay una actualización disponible. Te mostramos cómo actualizar de forma segura tu BIOS UEFI. Lee mas . Un flash de firmware no es algo con lo que la mayoría de los usuarios tenga experiencia. Si bien es más fácil que en el pasado, todavía existe una gran diferencia de que el parpadeo de un firmware saldrá mal, lo que podría hacer que la máquina en cuestión.

¿Cómo funciona el LoJax Rootkit??

LoJax usa una versión reempaquetada del software antirrobo LoJack de Absolute Software. La herramienta original está destinada a ser persistente durante la limpieza del sistema o el reemplazo del disco duro para que el titular de la licencia pueda rastrear un dispositivo robado. Las razones por las que la herramienta se entierra tan profundamente en la computadora son bastante legítimas, y LoJack sigue siendo un popular producto antirrobo por estas cualidades exactas.

Dado que, en los EE. UU., El 97 por ciento de las computadoras portátiles robadas nunca se recuperan, es comprensible que los usuarios quieran una protección adicional para una inversión tan costosa.

LoJax usa un controlador de kernel, RwDrv.sys, para acceder a la configuración de BIOS / UEFI. El controlador del kernel se incluye con RWEverything, una herramienta legítima que se utiliza para leer y analizar configuraciones de computadora de bajo nivel (bits a los que normalmente no tiene acceso). Hubo otras tres herramientas en el proceso de infección del rootkit LoJax:

  • La primera herramienta vuelca información sobre la configuración del sistema de bajo nivel (copiada de RWEverything) a un archivo de texto. Eludir la protección del sistema contra actualizaciones de firmware maliciosas requiere conocimiento del sistema.
  • La segunda herramienta “guarda una imagen del firmware del sistema en un archivo al leer el contenido de la memoria flash SPI.” La memoria flash SPI aloja el UEFI / BIOS.
  • Una tercera herramienta agrega el módulo malicioso a la imagen del firmware y luego lo escribe de nuevo en la memoria flash SPI.

Si LoJax se da cuenta de que la memoria flash SPI está protegida, explota una vulnerabilidad conocida (CVE-2014-8273) para acceder a ella, luego continúa y escribe el rootkit en la memoria..

¿De dónde vino LoJax??

El equipo de investigación de ESET cree que LoJax es el trabajo del infame grupo ruso de piratería Fancy Bear / Sednit / Strontium / APT28. El grupo de hacking es responsable de varios ataques importantes en los últimos años..

LoJax usa los mismos servidores de comando y control que SedUploader, otro malware de puerta trasera Sednit. LoJax también tiene enlaces y rastros de otro malware Sednit, incluyendo XAgent (otra herramienta de puerta trasera) y XTunnel (una herramienta de proxy de red segura).

Además, la investigación de ESET encontró que los operadores de malware “usaron diferentes componentes del malware LoJax para dirigirse a unas pocas organizaciones gubernamentales en los Balcanes, así como en Europa Central y Oriental.”

LoJax no es el primer rootkit de UEFI

La noticia de LoJax ciertamente hizo que el mundo de la seguridad se incorporara y tomara nota. Sin embargo, no es el primer rootkit UEFI. El Equipo de Hacking (un grupo malicioso, por si acaso se lo estaba preguntando) estaba usando un rootkit UEFI / BIOS en 2015 para mantener un agente del sistema de control remoto instalado en los sistemas de destino..

La principal diferencia entre el rootkit UEFI de The Hacking Team y LoJax es el método de entrega. En ese momento, los investigadores de seguridad pensaron que The Hacking Team requería acceso físico a un sistema para instalar la infección a nivel de firmware. Por supuesto, si alguien tiene acceso directo a su computadora, puede hacer lo que quiera. Aún así, el rootkit UEFI es especialmente desagradable.

¿Está su sistema en riesgo de LoJax??

Los sistemas modernos basados ​​en UEFI tienen varias ventajas distintas sobre sus contrapartes anteriores basadas en BIOS.

Por un lado, son más nuevos. El nuevo hardware no es el principio y el fin, pero facilita muchas tareas informáticas.

En segundo lugar, el firmware de UEFI también tiene algunas características de seguridad adicionales. Destaca especialmente el arranque seguro, que solo permite ejecutar programas con una firma digital firmada.

Si esto está desactivado y encuentras un rootkit, la pasarás mal. El inicio seguro también es una herramienta particularmente útil en la era actual del ransomware. Vea el siguiente video de Secure Boot que trata sobre el extremadamente peligroso ransomware NotPetya:

NotPetya habría cifrado todo en el sistema de destino si Secure Boot hubiera sido desactivado.

LoJax es un tipo de bestia completamente diferente.. Al contrario de los informes anteriores, incluso el arranque seguro no puede detener LoJax. Mantener actualizado el firmware de UEFI es extremadamente importante. Hay algunas herramientas especializadas contra el rootkit. La Guía completa de eliminación de malware La Guía completa de eliminación de malware El malware está en todas partes hoy en día, y erradicar el malware de su sistema es un proceso largo que requiere orientación. Si crees que tu computadora está infectada, esta es la guía que necesitas. Lea más, también, pero no está claro si pueden proteger contra LoJax.

Sin embargo, al igual que muchas amenazas con este nivel de capacidad, su computadora es un objetivo principal. El malware avanzado se enfoca predominantemente en objetivos de alto nivel. Además, LoJax tiene las indicaciones de la participación del actor de amenaza del estado-nación; otra posibilidad fuerte LoJax no te afectará a corto plazo. Dicho esto, el malware tiene una forma de filtrarse en el mundo. Si los delincuentes cibernéticos detectan el uso exitoso de LoJax, podría ser más común en los ataques de malware regulares.

Como siempre, mantener su sistema actualizado es una de las mejores maneras de proteger su sistema. Una suscripción a Malwarebytes Premium también es de gran ayuda. 5 razones para actualizarse a Malwarebytes Premium: sí, vale la pena 5 razones para actualizarse a Malwarebytes Premium: sí, vale la pena Aunque la versión gratuita de Malwarebytes es increíble, la versión premium tiene un montón de características útiles y valiosas. Lee mas

Explorar más sobre: ​​Malware, Rootkit, UEFI.