Wzrost zagrożeÅ„ zwiÄ…zanych z Unified Extensible Firmware Interface (UEFI) jest obserwowany przez analityków bezpieczeÅ„stwa od kilku lat (w miarÄ™ jak zaczęło ono zastÄ™pować klasyczne BIOS-y), jednak dotychczas zÅ‚oÅ›liwe oprogramowanie instalowaÅ‚o siÄ™ gÅ‚ównie na partycji systemowej EFI znajdujÄ…cej siÄ™ na dysku twardym/SSD komputera. Na poczÄ…tku tego roku zauważono jednak, że cyberprzestÄ™pcy sÄ… w stanie posunąć siÄ™ dalej i skutecznie zainfekować ukÅ‚ad UEFI zlokalizowany na pÅ‚ycie gÅ‚ównej. Badacze bezpieczeÅ„stwa nazwali to nowe i bardzo poważne, ze wzglÄ™du na wÅ‚aÅ›ciwoÅ›ci zagrożenie mianem „MoonBounce”.
„MoonBounce” – wirus, który bÄ™dzie bardzo trudno usunąć
„MoonBounce” nie jest co prawda pierwszym zÅ‚oÅ›liwym oprogramowaniem atakujÄ…cym UEFI, przed nim pojawiÅ‚y siÄ™ chociażby „LoJax” i „MosaicRegressor”, jednak jest od nich znacznie bardziej zaawansowane. I co najważniejsze, jest w stanie zainfekować zdalnie, czego nie potrafili dokonać jego „sÅ‚absi” poprzednicy.
Nowy wirus jest bardzo przebiegÅ‚y, w efekcie trudny do wykrycia i usuniÄ™cia. „ŹródÅ‚o infekcji zaczyna siÄ™ od zestawu haków, które przechwytujÄ… wykonywanie kilku funkcji w tabeli EFI Boot Services Table” — wyjaÅ›nia Kaspersky na swoim blogu SecureList. Owe haki sÄ… nastÄ™pnie wykorzystywane do przekierowywania wywoÅ‚aÅ„ funkcji do zÅ‚oÅ›liwego kodu powÅ‚oki, który osoby atakujÄ…ce doÅ‚Ä…czyÅ‚y do ​​obrazu CORE_DXE. To z kolei „ustawia dodatkowe podpiÄ™cia w kolejnych komponentach Å‚aÅ„cucha rozruchowego, a mianowicie w programie Å‚adujÄ…cym Windows” – dodajÄ… analitycy bezpieczeÅ„stwa. Pozwala to na implementacjÄ™ zÅ‚oÅ›liwego oprogramowania do procesu svchost.exe podczas uruchamiania komputera w systemie Windows.
Analitycy sprawdzili, jak dziaÅ‚a to zÅ‚oÅ›liwe oprogramowanie. Na zainfekowanej maszynie badacze zaobserwowali, że wirus próbuje uzyskać dostÄ™p do adresu URL, aby pobrać z sieci kolejnÄ… partiÄ™ danych i uruchomić jej zawartość w pamiÄ™ci. Co ciekawe, ta część ataku wydawaÅ‚a siÄ™ nigdzie nie prowadzić, wiÄ™c nie byÅ‚o możliwe przeanalizowanie efektów. Być może wirus podczas wykrycia wciąż znajdowaÅ‚ siÄ™ w fazie testów, a sami hakerzy jedynie sprawdzali możliwe kierunki jego dziaÅ‚ania. Co wiÄ™cej, to zÅ‚oÅ›liwe oprogramowanie nie jest oparte na plikach i przynajmniej niektóre operacje wykonuje tylko w pamiÄ™ci podrÄ™cznej, przez co trudno jest dokÅ‚adnie zobaczyć zmiany, które wywoÅ‚uje swojÄ… aktywnoÅ›ciÄ….
Jak uniknąć ataku na UEFI komputera?
Aby nie stać siÄ™ ofiarÄ… „MoonBounce” lub podobnego szkodliwego oprogramowania UEFI, eksperci sugerujÄ… zastosowanie szeregu Å›rodków ostrożnoÅ›ci. Przede wszystkim zaleca siÄ™ użytkownikom aktualizowanie oprogramowania ukÅ‚adowego UEFI bezpoÅ›rednio od producenta, sprawdzenie, czy funkcja BootGuard jest wÅ‚Ä…czona, jeÅ›li jest dostÄ™pna na pÅ‚ycie gÅ‚ównej, a także wÅ‚Ä…czanie moduÅ‚ów platformy Trust. Zalecane jest też oczywiÅ›cie stosowanie odpowiednich programów antywirusowych, które mogÄ… skanować UEFI w poszukiwaniu infekcji.
ŹródÅ‚o: TomsHardware
KOMENTARZE (0) SKOMENTUJ ZOBACZ WSZYSTKIE