Računari i Galaksija

MoonBounce zlonamerni softver se krije u vašem BIOS čipu i ostaje i nakon formatiranja diska

Novi tip zlonamernog softvera je teže ukloniti – skriva se u vašem BIOS čipu i tu ostaje čak i nakon što ponovo instalirate OS ili formatirate hard disk.

PCPress.rs Image

Može se instalirati i daljinski

Kaspersky je od 2019. primetio porast pretnji od Unified Extensible Firmware Interface (UEFI) firmware malware-a, pri čemu većina čuva zlonamerni softver na EFI sistemskoj particiji računara. Međutim, uočen je zlokobni razvoj tokom Nove godine sa novim UEFI malverom, koji su otkrili Kaspersky-jevi firmware scanner logovi, koji ugrađuje zlonamerni kod u Flash Serial Peripheral Interface (SPI) matične ploče. Istraživači bezbednosti nazvali su ovaj flash-resident UEFI malware – „MoonBounce“. MoonBounce nije prvi UEFI malver koji cilja na SPI fleš. Kaspersky kaže da su LoJax i MosaicRegressor bili pre njega.

Međutim, MoonBounce pokazuje „značajan napredak, sa komplikovanijim tokom napada i većom tehničkom sofisticiranošću“. Takođe se čini da je uspeo da zarazi mašinu na daljinu. MoonBounce je nesumnjivo pametan u načinu na koji ulazi u sistem i čini ga teškim za otkrivanje i odlaganje. Izvor zaraze počinje skupom kukica koje presreću izvršavanje nekoliko funkcija u tabeli EFI Boot Services, objašnjava Kaspersky na svom blogu SecureList. One se zatim koriste za preusmeravanje poziva funkcija na zlonamerni shellcode koji su napadači dodali CORE_DXE image-u. Ovo, zauzvrat, „postavlja dodatne kuke u narednim komponentama lanca pokretanja, odnosno u Windows loaderu, rekli su istraživači bezbednosti. Ovo omogućava da se malver ubaci u proces svchost.exe kada se računar pokrene u Windows-u. Naravno, Kaspersky je bio zainteresovan da vidi šta će malver sledeće uraditi.

Pročitajte i:  Google: Malver zloupotrebe API je standardna krađa tokena, a ne problem API-ja

Dakle, na zaraženoj mašini, istraživači su primetili kako proces malvera pokušava da pristupi URL-u da bi preuzeo korisni teret sledeće faze i pokrenuo ga u memoriji. Zanimljivo, činilo se da ovaj deo sofisticiranog napada nikuda nije otišao, tako da nije bilo moguće analizirati dalje korake u MoonBounce-u. Možda je ovaj zlonamerni softver još uvek bio u testiranju kada je primećen. Pored toga, zlonamerni softver nije zasnovan na fajlovima i obavlja bar neke od svojih operacija samo u memoriji, što otežava da se tačno vidi šta je MoonBounce uradio. Jedna mašina, u vlasništvu transportne kompanije, za sada je jedina mašina u Kasperskyjevim evidencijama koja ima MoonBounce infekciju u svom SPI Flash-u.

Nije sigurno kako je došlo do infekcije, ali se smatra da je podstaknuta daljinski. Izgleda da je ta jedina mašina u kompaniji za transportnu tehnologiju proširila implantate malvera koji nisu UEFI na druge mašine na mreži. S obzirom da je veći deo njegovog rada bez fajlova i samo u memoriji, nije lako posmatrati iz ovog pojedinačnog uzorka. Što se tiče MoonBounce-a, Kaspersky se čini prilično sigurnim da je ovaj malver proizvod APT41. Da biste izbegli da postanete žrtva MoonBounce ili sličnog UEFI malvera, Kaspersky predlaže brojne mere. Preporučuje se korisnicima da ažuriraju svoj UEFI firmware direktno od proizvođača, da provere da je BootGuard omogućen tamo gde je dostupan i da omoguće Trust Platform module. Na kraju, ali ne i najmanje važno, preporučuje bezbednosno rešenje koje skenira firmware sistema u potrazi za problemima kako bi se mogle preduzeti mere kada se otkrije UEFI malver.

Pročitajte i:  Chameleon Android malver može isključiti otključavanje otiskom prsta kako bi ukrao vaš PIN

Izvor: Tomshardware

Facebook komentari:
SBB

Tagovi: , , , , ,