¿Qué es el rootkit UEFI "LoJax" desarrollado por hackers rusos?
Anuncio
Un rootkit es un tipo de malware particularmente desagradable. Una infección de malware "normal" se carga cuando ingresa al sistema operativo. Todavía es una mala situación, pero un antivirus decente debería eliminar el malware y limpiar su sistema.
Por el contrario, un rootkit se instala en el firmware de su sistema y permite la instalación de una carga maliciosa cada vez que reinicia su sistema.
Los investigadores de seguridad han descubierto una nueva variante de rootkit en la naturaleza, llamada LoJax. ¿Qué diferencia a este rootkit de los demás? Bueno, puede infectar los sistemas modernos basados en UEFI, en lugar de los sistemas más antiguos basados en BIOS. Y eso es un problema.
El rootkit LoJax UEFI
ESET Research publicó un artículo de investigación que detalla LoJax, un rootkit recientemente descubierto (¿qué es un rootkit?) Que rediseña con éxito un software comercial del mismo nombre. (Aunque el equipo de investigación bautizó el malware "LoJax", el software original se llama "LoJack").
Además de la amenaza, LoJax puede sobrevivir a una reinstalación completa de Windows e incluso al reemplazo del disco duro.
El malware sobrevive atacando el sistema de arranque de firmware UEFI. Otros rootkits pueden ocultarse en controladores o sectores de arranque ¿Qué es un bootkit y Nemesis es una amenaza genuina? ¿Qué es un kit de arranque y es Némesis una amenaza genuina? Los hackers continúan encontrando formas de interrumpir su sistema, como el kit de arranque. Veamos qué es un bootkit, cómo funciona la variante Nemesis y consideremos qué puede hacer para mantenerse alejado. Leer más, dependiendo de su codificación y la intención del atacante. LoJax se conecta al firmware del sistema y vuelve a infectar el sistema antes de que el SO se cargue.
Hasta el momento, el único método conocido para eliminar por completo el malware LoJax es actualizar el nuevo firmware en el sistema sospechoso Cómo actualizar su BIOS UEFI en Windows Cómo actualizar su BIOS UEFI en Windows La mayoría de los usuarios de PC se quedan sin actualizar su BIOS. Sin embargo, si le preocupa la estabilidad continua, debe verificar periódicamente si hay una actualización disponible. Le mostramos cómo actualizar de manera segura su BIOS UEFI. Lee mas . Un flash de firmware no es algo con lo que la mayoría de los usuarios tengan experiencia. Si bien es más fácil que en el pasado, todavía es significativo que la actualización de un firmware salga mal, lo que podría bloquear la máquina en cuestión.
¿Cómo funciona el rootkit LoJax?
LoJax utiliza una versión reempaquetada del software antirrobo LoJack de Absolute Software. La herramienta original está destinada a ser persistente durante un borrado del sistema o reemplazo del disco duro para que el licenciatario pueda rastrear un dispositivo robado. Las razones por las que la herramienta excava tan profundamente en la computadora son bastante legítimas, y LoJack sigue siendo un producto antirrobo popular por estas cualidades exactas.
Dado que, en los Estados Unidos, el 97 por ciento de las computadoras portátiles robadas nunca se recuperan, es comprensible que los usuarios deseen protección adicional para una inversión tan costosa.
LoJax utiliza un controlador de kernel, RwDrv.sys, para acceder a la configuración de BIOS / UEFI. El controlador del núcleo se incluye con RWEverything, una herramienta legítima utilizada para leer y analizar configuraciones de computadora de bajo nivel (bits a los que normalmente no tiene acceso). Había otras tres herramientas en el proceso de infección del rootkit LoJax:
- La primera herramienta volca la información sobre la configuración del sistema de bajo nivel (copiada de RWEverything) en un archivo de texto. Eludir la protección del sistema contra actualizaciones de firmware maliciosas requiere conocer el sistema.
- La segunda herramienta "guarda una imagen del firmware del sistema en un archivo al leer el contenido de la memoria flash SPI". La memoria flash SPI aloja el UEFI / BIOS.
- Una tercera herramienta agrega el módulo malicioso a la imagen del firmware y luego lo vuelve a escribir en la memoria flash SPI.
Si LoJax se da cuenta de que la memoria flash SPI está protegida, explota una vulnerabilidad conocida (CVE-2014-8273) para acceder a ella, luego continúa y escribe el rootkit en la memoria.
¿De dónde vino LoJax?
El equipo de investigación de ESET cree que LoJax es el trabajo del infame grupo de piratas rusos Fancy Bear / Sednit / Strontium / APT28. El grupo de piratería es responsable de varios ataques importantes en los últimos años.
LoJax utiliza los mismos servidores de comando y control que SedUploader, otro malware de puerta trasera de Sednit. LoJax también tiene enlaces y rastros de otro malware Sednit, incluido XAgent (otra herramienta de puerta trasera) y XTunnel (una herramienta de proxy de red segura).
Además, la investigación de ESET encontró que los operadores de malware "utilizaron diferentes componentes del malware LoJax para atacar a algunas organizaciones gubernamentales en los Balcanes, así como a Europa Central y del Este".
LoJax no es el primer rootkit UEFI
La noticia de LoJax ciertamente causó que el mundo de la seguridad se sentara y tomara nota. Sin embargo, no es el primer rootkit UEFI. El Hacking Team (un grupo malicioso, por si se lo preguntaba) estaba usando un rootkit UEFI / BIOS en 2015 para mantener un agente del sistema de control remoto instalado en los sistemas de destino.
La principal diferencia entre el rootkit UEFI de The Hacking Team y LoJax es el método de entrega. En ese momento, los investigadores de seguridad pensaron que The Hacking Team requería acceso físico a un sistema para instalar la infección a nivel de firmware. Por supuesto, si alguien tiene acceso directo a su computadora, puede hacer lo que quiera. Aún así, el rootkit UEFI es especialmente desagradable.
¿Está su sistema en riesgo por LoJax?
Los sistemas modernos basados en UEFI tienen varias ventajas distintas sobre sus homólogos más antiguos basados en BIOS.
Por un lado, son más nuevos. El nuevo hardware no es el principio y el fin, pero hace que muchas tareas informáticas sean más fáciles.
En segundo lugar, el firmware UEFI también tiene algunas características de seguridad adicionales. Destaca especialmente el Arranque seguro, que solo permite la ejecución de programas con una firma digital firmada.
Si esto está desactivado y te encuentras con un rootkit, lo pasarás mal. Secure Boot también es una herramienta particularmente útil en la era actual del ransomware. Vea el siguiente video de Secure Boot que trata sobre el extremadamente peligroso ransomware NotPetya:
NotPetya habría cifrado todo en el sistema de destino si Secure Boot hubiera sido desactivado.
LoJax es un tipo de bestia completamente diferente. Al contrario de informes anteriores, incluso el Arranque seguro no puede detener LoJax . Mantener su firmware UEFI actualizado es extremadamente importante. Existen algunas herramientas especializadas anti-rootkit La Guía completa de eliminación de malware La Guía completa de eliminación de malware El malware está en todas partes en estos días, y la erradicación de malware de su sistema es un proceso largo, que requiere orientación. Si cree que su computadora está infectada, esta es la guía que necesita. Lea más también, pero no está claro si pueden proteger contra LoJax.
Sin embargo, como muchas amenazas con este nivel de capacidad, su computadora es un objetivo principal. El malware avanzado se centra principalmente en objetivos de alto nivel. Además, LoJax tiene los indicios de la participación del actor de la amenaza estado-nación; Otra gran posibilidad de que LoJax no lo afecte a corto plazo. Dicho esto, el malware tiene una forma de filtrarse en el mundo. Si los delincuentes cibernéticos detectan el uso exitoso de LoJax, podría volverse más común en los ataques regulares de malware.
Como siempre, mantener su sistema actualizado es una de las mejores formas de proteger su sistema. Una suscripción a Malwarebytes Premium también es de gran ayuda. 5 razones para actualizar a Malwarebytes Premium: Sí, vale la pena 5 razones para actualizar a Malwarebytes Premium: Sí, vale la pena Si bien la versión gratuita de Malwarebytes es increíble, la versión premium tiene un montón de características útiles y valiosas. Lee mas
Explore más sobre: Malware, Rootkit, UEFI.
