Key Takeaways
- Sigurnosni istraživači su otkrili jedinstveni zlonamjerni softver koji inficira flash memoriju na matičnoj ploči.
- Zlonamjerni softver je teško ukloniti, a istraživači još uvijek ne razumiju kako uopće dospijeva u računar.
-
Bootkit malver će nastaviti da se razvija, upozoravaju istraživači.
Za dezinfekciju računara potrebno je raditi kakav jeste. Novi zlonamjerni softver čini zadatak još glomaznijim budući da su istraživači sigurnosti otkrili da se toliko duboko ugrađuje u računar da ćete vjerovatno morati baciti matičnu ploču da biste ga se riješili.
Dubbed MoonBounce od strane sigurnosnih istražitelja u Kaspersky-u koji su ga otkrili, zlonamjerni softver, tehnički nazvan bootkit, prelazi preko tvrdog diska i uvlači se u firmver za pokretanje računarskog Unified Extensible Firmware Interface (UEFI).
"Napad je veoma sofisticiran", rekao je za Lifewire Tomer Bar, direktor sigurnosnih istraživanja u SafeBreach-u. "Jednom kada se žrtva zarazi, to je vrlo uporno jer čak ni format tvrdog diska neće pomoći."
Novel Threat
Bootkit zlonamjerni softver je rijedak, ali ne i potpuno nov, a sam Kaspersky je otkrio još dva u posljednjih nekoliko godina. Međutim, ono što MoonBounce čini jedinstvenim je to što inficira flash memoriju koja se nalazi na matičnoj ploči, čineći je nepropusnom za antivirusni softver i sva druga uobičajena sredstva za uklanjanje zlonamjernog softvera.
U stvari, istraživači kompanije Kaspersky napominju da korisnici mogu ponovo instalirati operativni sistem i zamijeniti tvrdi disk, ali će bootkit nastaviti ostati na zaraženom računaru sve dok korisnici ili ponovo ne flešuju zaraženu fleš memoriju, što opisuju kao "veoma složen proces" ili potpuno zamijenite matičnu ploču.
Ono što malver čini još opasnijim, dodao je Bar, jeste to što je malver bez fajlova, što znači da se ne oslanja na fajlove koje antivirusni programi mogu označiti i ne ostavlja očigledan trag na zaraženom računaru, što ga čini veoma teško ući u trag.
Na osnovu njihove analize malvera, istraživači kompanije Kaspersky napominju da je MoonBounce prvi korak u višestepenom napadu. Glumci koji stoje iza MoonBounce-a koriste zlonamjerni softver da uspostave uporište na žrtvinom kompjuteru, za koji smatraju da se onda može koristiti za postavljanje dodatnih prijetnji za krađu podataka ili postavljanje ransomware-a.
Spasa je, međutim, to što su istraživači do sada pronašli samo jedan primjer zlonamjernog softvera. "Međutim, radi se o vrlo sofisticiranom skupu koda, što je zabrinjavajuće; ako ništa drugo, on najavljuje vjerovatnoću drugog, naprednog zlonamjernog softvera u budućnosti", upozorio je Tim Helming, sigurnosni evanđelist iz DomainTools, Lifewire putem e-pošte.
Therese Schachner, konsultant za sajber sigurnost u VPNBrains se slaže. "Pošto je MoonBounce posebno prikriven, moguće je da postoje dodatni primjeri MoonBounce napada koji još nisu otkriveni."
Cijepite svoj kompjuter
Istraživači primjećuju da je zlonamjerni softver otkriven samo zato što su napadači pogriješili koristeći iste komunikacijske servere (tehnički poznati kao komandni i kontrolni serveri) kao drugi poznati zlonamjerni softver.
Međutim, Helming je dodao da pošto nije jasno kako se početna infekcija odvija, praktično je nemoguće dati vrlo konkretna uputstva o tome kako izbjeći zarazu. Ipak, slijediti dobro prihvaćene sigurnosne prakse je dobar početak.
"Dok sam zlonamjerni softver napreduje, osnovna ponašanja koja bi prosječan korisnik trebao izbjegavati kako bi se zaštitio nisu se zapravo promijenila. Održavanje softvera ažurnim, posebno sigurnosnog softvera, je važno. Izbjegavanje klikanja na sumnjive linkove ostaje dobra strategija, " predložio je Lifewire-u Tim Erlin, potpredsjednik strategije u Tripwireu putem e-pošte.
… moguće je da postoje dodatni slučajevi MoonBounce napada koji još nisu otkriveni.
Dodajući tom prijedlogu, Stephen Gates, evanđelista sigurnosti u Checkmarxu, rekao je za Lifewire putem e-pošte da prosječan korisnik desktopa mora ići dalje od tradicionalnih antivirusnih alata, koji ne mogu spriječiti napade bez fajlova, kao što je MoonBounce.
"Tražite alate koji mogu iskoristiti kontrolu skripta i zaštitu memorije i pokušajte koristiti aplikacije iz organizacija koje koriste sigurne, moderne metodologije razvoja aplikacija, od dna grupe do vrha", predložio je Gates.
Bar je, s druge strane, zagovarao upotrebu tehnologija, kao što su SecureBoot i TPM, kako bi provjerio da firmver za pokretanje nije modificiran kao efikasna tehnika ublažavanja protiv malvera za pokretanje pokreta.
Schachner je na sličan način predložio da će instaliranje ažuriranja UEFI firmvera čim budu puštene pomoći korisnicima da ugrade sigurnosne ispravke koje bolje štite svoje računare od novih prijetnji kao što je MoonBounce.
Štaviše, preporučila je korištenje sigurnosnih platformi koje uključuju detekciju prijetnji firmverom. "Ova sigurnosna rješenja omogućavaju korisnicima da budu obaviješteni o potencijalnim prijetnjama firmvera što je prije moguće, tako da se mogu riješiti na vrijeme prije nego što prijetnje eskaliraju."
