Brian Curtis
0 
901
167
Un rootkit es un tipo de malware particularmente desagradable. UNA “regular” la infección de malware se carga cuando ingresa al sistema operativo. Todavía es una mala situación, pero un antivirus decente debería eliminar el malware y limpiar su sistema.
Por el contrario, un rootkit se instala en el firmware de su sistema y permite la instalación de una carga maliciosa cada vez que reinicia su sistema.
Los investigadores de seguridad han descubierto una nueva variante de rootkit en la naturaleza, llamada LoJax. ¿Qué diferencia a este rootkit de los demás? Bueno, puede infectar los sistemas modernos basados en UEFI, en lugar de los sistemas más antiguos basados en BIOS. Y eso es un problema.
El rootkit LoJax UEFI
ESET Research publicó un artículo de investigación que detalla LoJax, un rootkit recientemente descubierto (¿qué es un rootkit?) Que rediseña con éxito un software comercial del mismo nombre. (Aunque el equipo de investigación bautizó el malware “LoJax,” el software genuino se llama “LoJack.”)
Además de la amenaza, LoJax puede sobrevivir a una reinstalación completa de Windows e incluso al reemplazo del disco duro.
El malware sobrevive atacando el sistema de arranque de firmware UEFI. Otros rootkits pueden ocultarse en controladores o sectores de arranque ¿Qué es un bootkit y Nemesis es una amenaza genuina? ¿Qué es un kit de arranque y es Némesis una amenaza genuina? Los hackers continúan encontrando formas de interrumpir su sistema, como el kit de arranque. Veamos qué es un bootkit, cómo funciona la variante Nemesis y consideremos qué puede hacer para mantenerse alejado. , dependiendo de su codificación y la intención del atacante. LoJax se conecta al firmware del sistema y vuelve a infectar el sistema antes de que el sistema operativo se cargue.
Hasta el momento, el único método conocido para eliminar por completo el malware LoJax es actualizar el nuevo firmware en el sistema sospechoso Cómo actualizar su BIOS UEFI en Windows Cómo actualizar su BIOS UEFI en Windows La mayoría de los usuarios de PC se quedan sin actualizar su BIOS. Sin embargo, si le preocupa la estabilidad continua, debe verificar periódicamente si hay una actualización disponible. Le mostramos cómo actualizar de manera segura su BIOS UEFI. . Un flash de firmware no es algo con lo que la mayoría de los usuarios tengan experiencia. Si bien es más fácil que en el pasado, todavía es significativo que la actualización de un firmware salga mal, lo que podría bloquear la máquina en cuestión.
¿Cómo funciona el rootkit LoJax??
LoJax utiliza una versión reempaquetada del software antirrobo LoJack de Absolute Software. La herramienta original está destinada a ser persistente durante un borrado del sistema o reemplazo del disco duro para que el licenciatario pueda rastrear un dispositivo robado. Las razones por las que la herramienta excava tan profundamente en la computadora son bastante legítimas, y LoJack sigue siendo un producto antirrobo popular por estas cualidades exactas..
Dado que, en los Estados Unidos, el 97 por ciento de las computadoras portátiles robadas nunca se recuperan, es comprensible que los usuarios quieran protección adicional para una inversión tan costosa.
LoJax usa un controlador de kernel, RwDrv.sys, para acceder a la configuración de BIOS / UEFI. El controlador del núcleo se incluye con RWEverything, una herramienta legítima utilizada para leer y analizar configuraciones de computadora de bajo nivel (bits a los que normalmente no tiene acceso). Había otras tres herramientas en el proceso de infección del rootkit LoJax:
- La primera herramienta volca la información sobre la configuración del sistema de bajo nivel (copiada de RWEverything) en un archivo de texto. Eludir la protección del sistema contra actualizaciones de firmware maliciosas requiere conocer el sistema.
- La segunda herramienta “guarda una imagen del firmware del sistema en un archivo leyendo el contenido de la memoria flash SPI.” La memoria flash SPI aloja el UEFI / BIOS.
- Una tercera herramienta agrega el módulo malicioso a la imagen del firmware y luego lo vuelve a escribir en la memoria flash SPI.
Si LoJax se da cuenta de que la memoria flash SPI está protegida, aprovecha una vulnerabilidad conocida (CVE-2014-8273) para acceder a ella, luego continúa y escribe el rootkit en la memoria.
¿De dónde vino LoJax??
El equipo de investigación de ESET cree que LoJax es el trabajo del infame grupo de piratas rusos Fancy Bear / Sednit / Strontium / APT28. El grupo de hackers es responsable de varios ataques importantes en los últimos años..
LoJax utiliza los mismos servidores de comando y control que SedUploader, otro malware de puerta trasera de Sednit. LoJax también tiene enlaces y rastros de otro malware Sednit, incluido XAgent (otra herramienta de puerta trasera) y XTunnel (una herramienta de proxy de red segura).
Además, la investigación de ESET encontró que los operadores de malware “utilizó diferentes componentes del malware LoJax para atacar a algunas organizaciones gubernamentales en los Balcanes, así como a Europa Central y Oriental.”
LoJax no es el primer rootkit UEFI
La noticia de LoJax ciertamente causó que el mundo de la seguridad se sentara y tomara nota. Sin embargo, no es el primer rootkit UEFI. El Hacking Team (un grupo malicioso, por si se lo preguntaba) estaba usando un rootkit UEFI / BIOS en 2015 para mantener un agente de sistema de control remoto instalado en los sistemas de destino.
La principal diferencia entre el rootkit UEFI de The Hacking Team y LoJax es el método de entrega. En ese momento, los investigadores de seguridad pensaron que The Hacking Team requería acceso físico a un sistema para instalar la infección a nivel de firmware. Por supuesto, si alguien tiene acceso directo a su computadora, puede hacer lo que quiera. Aún así, el rootkit UEFI es especialmente desagradable.
¿Está su sistema en riesgo por LoJax??
Los sistemas modernos basados en UEFI tienen varias ventajas distintas sobre sus contrapartes antiguas basadas en BIOS.
Por un lado, son más nuevos. El nuevo hardware no es el principio y el fin, pero facilita muchas tareas informáticas.
En segundo lugar, el firmware UEFI también tiene algunas características de seguridad adicionales. Destaca el arranque seguro, que solo permite la ejecución de programas con firma digital firmada..
Si esto está desactivado y te encuentras con un rootkit, lo pasarás mal. Secure Boot también es una herramienta particularmente útil en la era actual del ransomware. Vea el siguiente video de Secure Boot que trata sobre el extremadamente peligroso ransomware NotPetya:
NotPetya habría cifrado todo en el sistema de destino si se hubiera desactivado el Arranque seguro.
LoJax es un tipo de bestia completamente diferente. Al contrario de informes anteriores, incluso el Arranque seguro no puede detener LoJax. Mantener su firmware UEFI actualizado es extremadamente importante. Existen algunas herramientas anti-rootkit especializadas. La guía completa de eliminación de malware La guía completa de eliminación de malware. El malware está en todas partes en estos días, y la erradicación de malware de su sistema es un proceso largo que requiere orientación. Si cree que su computadora está infectada, esta es la guía que necesita. , también, pero no está claro si pueden proteger contra LoJax.
Sin embargo, como muchas amenazas con este nivel de capacidad, su computadora es un objetivo principal. El malware avanzado se centra principalmente en objetivos de alto nivel. Además, LoJax tiene los indicios de la participación del actor de la amenaza estado-nación; Otra gran posibilidad de que LoJax no lo afecte a corto plazo. Dicho esto, el malware tiene una forma de filtrarse en el mundo. Si los ciberdelincuentes detectan el uso exitoso de LoJax, podría volverse más común en los ataques regulares de malware.
Como siempre, mantener su sistema actualizado es una de las mejores formas de proteger su sistema. Una suscripción a Malwarebytes Premium también es de gran ayuda. 5 razones para actualizar a Malwarebytes Premium: sí, vale la pena 5 razones para actualizar a Malwarebytes Premium: sí, vale la pena.