Antimalwaresoftware schützt Sie nicht vor einer Rootkit-Infektion. Was können Sie also gegen die neue LoJax-Infektion tun?

Was ist das von russischen Hackern entwickelte UEFI-Rootkit „LoJax“?

Werbung Ein Rootkit ist eine besonders unangenehme Art von Malware. Beim Aufrufen des Betriebssystems wird eine „normale“ Malware-Infektion ausgelöst. Es ist immer noch eine schlechte Situation, aber ein anständiger Virenschutz sollte die Malware entfernen und Ihr System bereinigen. Umgekehrt wird ein Rootkit auf Ihrer Systemfirmware installiert und ermöglicht die Installation einer schädlichen Nutzlast bei jedem Neustart Ihres Systems. Sicher

Werbung

Ein Rootkit ist eine besonders unangenehme Art von Malware. Beim Aufrufen des Betriebssystems wird eine „normale“ Malware-Infektion ausgelöst. Es ist immer noch eine schlechte Situation, aber ein anständiger Virenschutz sollte die Malware entfernen und Ihr System bereinigen.

Umgekehrt wird ein Rootkit auf Ihrer Systemfirmware installiert und ermöglicht die Installation einer schädlichen Nutzlast bei jedem Neustart Ihres Systems.

Sicherheitsforscher haben eine neue Rootkit-Variante in freier Wildbahn entdeckt, LoJax. Was unterscheidet dieses Rootkit von anderen? Nun, es kann moderne UEFI-basierte Systeme infizieren, anstatt ältere BIOS-basierte Systeme. Und das ist ein Problem.

Das LoJax UEFI Rootkit

ESET Research veröffentlichte eine Studie, in der LoJax, ein neu entdecktes Rootkit (was ist ein Rootkit?), Das eine kommerzielle Software mit dem gleichen Namen erfolgreich umsetzt, ausführlich beschrieben wird. (Obwohl das Forschungsteam die Malware "LoJax" taufte, heißt die Originalsoftware "LoJack".)

Zusätzlich zu der Bedrohung kann LoJax eine vollständige Neuinstallation von Windows und sogar den Austausch der Festplatte überstehen.

Die Malware überlebt, indem sie das UEFI-Firmware-Boot-System angreift. Andere Rootkits verstecken sich möglicherweise in Treibern oder Bootsektoren. Was ist ein Bootkit und ist Nemesis eine echte Bedrohung? Was ist ein Bootkit und ist Nemesis eine echte Bedrohung? Hacker finden weiterhin Möglichkeiten, Ihr System zu stören, wie z. B. das Bootkit. Schauen wir uns an, was ein Bootkit ist, wie die Nemesis-Variante funktioniert, und überlegen, was Sie tun können, um den Überblick zu behalten. Lesen Sie mehr, abhängig von ihrer Codierung und der Absicht des Angreifers. LoJax hängt sich in die Systemfirmware ein und infiziert das System erneut, bevor das Betriebssystem überhaupt geladen wird.

Bisher ist die einzige bekannte Methode zum vollständigen Entfernen der LoJax-Malware das Flashen neuer Firmware über das verdächtige System. So aktualisieren Sie Ihr UEFI-BIOS unter Windows: So aktualisieren Sie Ihr UEFI-BIOS unter Windows: Die meisten PC-Benutzer müssen ihr BIOS nicht aktualisieren. Wenn Sie jedoch auf dauerhafte Stabilität achten, sollten Sie regelmäßig überprüfen, ob ein Update verfügbar ist. Wir zeigen Ihnen, wie Sie Ihr UEFI-BIOS sicher aktualisieren können. Weiterlesen . Mit einem Firmware-Flash haben die meisten Benutzer keine Erfahrung. Zwar ist das Flashen einer Firmware einfacher als in der Vergangenheit, aber es gibt immer noch eine erhebliche Gefahr, dass sie schief geht und möglicherweise die fragliche Maschine blockiert.

Wie funktioniert das LoJax Rootkit?

LoJax verwendet eine neu gepackte Version der LoJack Anti-Theft-Software von Absolute Software. Das Original-Tool muss während eines System-Wipe-Vorgangs oder eines Festplattenaustauschs dauerhaft verfügbar sein, damit der Lizenznehmer ein gestohlenes Gerät nachverfolgen kann. Die Gründe, warum sich das Werkzeug so tief in den Computer eingegraben hat, sind ziemlich berechtigt, und LoJack ist immer noch ein beliebtes Diebstahlschutzprodukt für genau diese Eigenschaften.

Angesichts der Tatsache, dass in den USA 97 Prozent der gestohlenen Laptops niemals wiederhergestellt werden, ist es verständlich, dass Benutzer einen zusätzlichen Schutz für solch eine teure Investition wünschen.

LoJax verwendet einen Kerneltreiber, RwDrv.sys, um auf die BIOS / UEFI-Einstellungen zuzugreifen. Der Kerneltreiber ist im Lieferumfang von RWEverything enthalten, einem legitimen Tool zum Lesen und Analysieren von Computereinstellungen auf niedriger Ebene (Bits, auf die Sie normalerweise keinen Zugriff haben). Es gab drei weitere Tools im LoJax Rootkit-Infektionsprozess:

  • Das erste Tool gibt Informationen zu den Systemeinstellungen auf niedriger Ebene (von RWEverything kopiert) in eine Textdatei aus. Das Umgehen des Systemschutzes gegen schädliche Firmware-Updates setzt Systemkenntnisse voraus.
  • Das zweite Tool „speichert ein Image der Systemfirmware in einer Datei, indem der Inhalt des SPI-Flash-Speichers gelesen wird.“ Der SPI-Flash-Speicher hostet das UEFI / BIOS.
  • Ein drittes Tool fügt das schädliche Modul zum Firmware-Image hinzu und schreibt es zurück in den SPI-Flash-Speicher.

Wenn LoJax feststellt, dass der SPI-Flash-Speicher geschützt ist, nutzt es eine bekannte Sicherheitsanfälligkeit (CVE-2014-8273) aus, um darauf zuzugreifen, fährt fort und schreibt das Rootkit in den Speicher.

Woher kommt LoJax?

Das ESET-Forschungsteam ist der Ansicht, dass LoJax die Arbeit der berüchtigten russischen Hacking-Gruppe Fancy Bear / Sednit / Strontium / APT28 ist. Die Hacking-Gruppe ist in den letzten Jahren für mehrere größere Angriffe verantwortlich.

LoJax verwendet dieselben Befehls- und Steuerungsserver wie SedUploader - eine weitere Sednit-Backdoor-Malware. LoJax enthält auch Links und Spuren anderer Sednit-Malware, darunter XAgent (ein weiteres Backdoor-Tool) und XTunnel (ein sicheres Netzwerk-Proxy-Tool).

Darüber hinaus ergab die ESET-Studie, dass die Malware-Betreiber „verschiedene Komponenten der LoJax-Malware für einige Regierungsorganisationen auf dem Balkan sowie in Mittel- und Osteuropa eingesetzt haben“.

LoJax ist nicht das erste UEFI-Rootkit

Die Nachricht von LoJax hat die Sicherheitswelt sicherlich dazu veranlasst, sich aufzuregen und zur Kenntnis zu nehmen. Es ist jedoch nicht das erste UEFI-Rootkit. Das Hacking Team (eine böswillige Gruppe, falls Sie sich fragen sollten) verwendete bereits 2015 ein UEFI / BIOS-Rootkit, um einen Fernsteuerungssystemagenten auf den Zielsystemen zu installieren.

Der Hauptunterschied zwischen dem UEFI-Rootkit von The Hacking Team und LoJax ist die Übermittlungsmethode. Zu dieser Zeit waren Sicherheitsforscher der Ansicht, dass das Hacking Team physischen Zugriff auf ein System benötigt, um die Infektion auf Firmware-Ebene zu installieren. Wenn jemand direkten Zugriff auf Ihren Computer hat, kann er natürlich tun, was er will. Dennoch ist das UEFI-Rootkit besonders unangenehm.

Ist Ihr System durch LoJax gefährdet?

Moderne UEFI-basierte Systeme bieten gegenüber älteren BIOS-basierten Systemen verschiedene Vorteile.

Zum einen sind sie neuer. Neue Hardware ist nicht das A und O, erleichtert aber viele Computeraufgaben.

Zweitens verfügt die UEFI-Firmware auch über einige zusätzliche Sicherheitsfunktionen. Besonders hervorzuheben ist Secure Boot, mit dem nur Programme mit einer signierten digitalen Signatur ausgeführt werden können.

Wenn dies deaktiviert ist und Sie auf ein Rootkit stoßen, werden Sie eine schlechte Zeit haben. Secure Boot ist auch im Zeitalter der Ransomware ein besonders nützliches Tool. Sehen Sie sich das folgende Video von Secure Boot an, in dem es um die äußerst gefährliche NotPetya-Ransomware geht:

NotPetya hätte alles auf dem Zielsystem verschlüsselt, wenn Secure Boot deaktiviert gewesen wäre.

LoJax ist eine ganz andere Art von Biest. Im Gegensatz zu früheren Berichten kann auch Secure Boot LoJax nicht stoppen . Es ist äußerst wichtig, die UEFI-Firmware auf dem neuesten Stand zu halten. Es gibt einige spezialisierte Anti-Rootkit-Tools. Das Handbuch zum vollständigen Entfernen von Malware Das Handbuch zum vollständigen Entfernen von Malware Malware ist heutzutage allgegenwärtig und das Entfernen von Malware von Ihrem System ist ein langwieriger Prozess, der Anleitung erfordert. Wenn Sie glauben, Ihr Computer ist infiziert, ist dies die Anleitung, die Sie benötigen. Lesen Sie auch mehr, aber es ist unklar, ob sie gegen LoJax schützen können.

Wie viele Bedrohungen mit dieser Fähigkeitsstufe ist Ihr Computer jedoch ein Hauptziel. Fortgeschrittene Malware konzentriert sich hauptsächlich auf übergeordnete Ziele. Darüber hinaus verfügt LoJax über Hinweise auf eine Beteiligung der nationalstaatlichen Bedrohungsakteure. Eine weitere große Chance, die LoJax Sie kurzfristig nicht betrifft. Malware hat jedoch eine Möglichkeit, in die Welt zu gelangen. Wenn Cyberkriminelle den erfolgreichen Einsatz von LoJax bemerken, ist dies bei regelmäßigen Malware-Angriffen möglicherweise häufiger anzutreffen.

Wie immer ist es eine der besten Möglichkeiten, Ihr System zu schützen, wenn Sie es auf dem neuesten Stand halten. Ein Malwarebytes Premium-Abonnement ist auch eine große Hilfe. 5 Gründe für ein Upgrade auf Malwarebytes Premium: Ja, es lohnt sich 5 Gründe für ein Upgrade auf Malwarebytes Premium: Ja, es lohnt sich Obwohl die kostenlose Version von Malwarebytes fantastisch ist, bietet die Premium-Version eine Reihe nützlicher und lohnender Funktionen. Weiterlesen

Weitere Informationen zu: Malware, Rootkit, UEFI.