الإعلانات
الجذور الخفية هي نوع من البرامج الضارة. يتم تحميل الإصابة بالبرامج الضارة "العادية" عندما تدخل نظام التشغيل. لا يزال الوضع سيئًا ، ولكن يجب أن تزيل برامج مكافحة الفيروسات اللائقة البرامج الضارة وتنظف نظامك.
على العكس ، يتم تثبيت rootkit إلى البرامج الثابتة للنظام الخاص بك ويسمح بتثبيت حمولة ضارة في كل مرة تعيد فيها تشغيل نظامك.
اكتشف باحثو الأمن نوعًا جديدًا من الجذور الخفية في البرية ، اسمه LoJax. ما الذي يميز هذه الجذور الخفية عن الآخرين؟ حسنًا ، يمكن أن يصيب الأنظمة الحديثة المستندة إلى UEFI ، بدلاً من الأنظمة القديمة المستندة إلى BIOS. وهذا هو المشكلة.
The LoJax UEFI Rootkit
ESET Research نشرت ورقة بحثية تفصل LoJax ، مجموعة الجذر التي تم اكتشافها حديثًا (ما هي الجذور الخفية؟) التي أعادت بنجاح أغراض برنامج تجاري يحمل نفس الاسم. (على الرغم من أن فريق البحث قام بتعميد البرامج الضارة "LoJax" ، فإن البرنامج الأصلي يسمى "LoJack".)
إضافة إلى التهديد ، يمكن أن ينجو LoJax من إعادة تثبيت Windows بالكامل وحتى استبدال محرك الأقراص الثابتة.
تستمر البرامج الضارة من خلال مهاجمة نظام تمهيد البرامج الثابتة UEFI. آخر
قد تخفي الجذور الخفية في برامج التشغيل أو قطاعات التمهيد ما هو Bootkit ، وهل العدو خطر حقيقي؟يستمر المتسللون في إيجاد طرق لتعطيل نظامك ، مثل bootkit. دعونا نلقي نظرة على ما هو bootkit ، وكيف يعمل البديل Nemesis ، والنظر في ما يمكنك القيام به للبقاء واضحا. اقرأ أكثر ، اعتمادًا على تشفيرهم وقصد المهاجم. يربط LoJax ببرنامج النظام الثابت ويعيد إصابة النظام قبل تحميل نظام التشغيل.حتى الآن ، فإن الطريقة الوحيدة المعروفة لإزالة برامج LoJax الضارة تمامًا هي تحديث البرامج الثابتة الجديدة على النظام المشتبه فيه كيفية تحديث BIOS UEFI في ويندوزيذهب معظم مستخدمي الكمبيوتر دون تحديث BIOS على الإطلاق. إذا كنت تهتم باستمرار الاستقرار ، فيجب عليك التحقق بشكل دوري مما إذا كان هناك تحديث متوفر. نعرض لك كيفية تحديث UEFI BIOS بأمان. اقرأ أكثر . لا يعد فلاش البرامج الثابتة شيئًا يتمتع به معظم المستخدمين. على الرغم من أن الأمر أسهل مما كان عليه في الماضي ، إلا أنه لا يزال من المهم أن وميض البرامج الثابتة سيحدث خطأ ، مما قد يؤدي إلى تحطيم الجهاز المعني.
كيف يعمل LoJax Rootkit؟
يستخدم LoJax نسخة معاد تغليفها من برنامج LoJack المضاد للسرقة من Absolute Software. من المفترض أن تكون الأداة الأصلية ثابتة طوال عملية مسح النظام أو استبدال محرك الأقراص الثابتة حتى يتمكن المرخص له من تعقب جهاز مسروق. أسباب اختراق الأداة عميقًا في الكمبيوتر شرعية إلى حد ما ، ولا يزال LoJack منتجًا مشهورًا لمكافحة السرقة لهذه الصفات الدقيقة.
وبالنظر إلى ذلك ، في الولايات المتحدة ، 97 بالمائة من أجهزة الكمبيوتر المحمولة المسروقة لم تتعافى أبدا، من المفهوم أن المستخدمين يريدون حماية إضافية لمثل هذا الاستثمار باهظ الثمن.
يستخدم LoJax برنامج تشغيل kernel ، RwDrv.sys، للوصول إلى إعدادات BIOS / UEFI. يتم تضمين برنامج تشغيل kernel مع RWEverything ، وهي أداة شرعية تُستخدم لقراءة وتحليل إعدادات الكمبيوتر منخفضة المستوى (وحدات البت التي لا يمكنك الوصول إليها عادةً). كانت هناك ثلاث أدوات أخرى في عملية عدوى الجذور الخفية LoJax:
- تقوم الأداة الأولى بتفريغ المعلومات حول إعدادات النظام ذات المستوى المنخفض (المنسوخة من RWEverything) إلى ملف نصي. يتطلب تجاوز حماية النظام من تحديثات البرامج الثابتة الضارة معرفة النظام.
- الأداة الثانية "تحفظ صورة برنامج النظام الثابت في ملف بقراءة محتويات ذاكرة فلاش SPI". تستضيف ذاكرة فلاش SPI UEFI / BIOS.
- تضيف أداة ثالثة الوحدة الخبيثة إلى صورة البرنامج الثابت ثم تعيدها إلى ذاكرة فلاش SPI.
إذا أدرك LoJax أن ذاكرة فلاش SPI محمية ، فإنه يستغل ثغرة أمنية معروفة (CVE-2014-8273) للوصول إليه ، ثم يستمر ويكتب الجذور الخفية في الذاكرة.
من أين أتى LoJax؟
يعتقد فريق ESET للأبحاث أن LoJax هو عمل مجموعة القرصنة الروسية الشهيرة Fancy Bear / Sednit / Strontium / APT28. مجموعة القرصنة مسؤولة عن العديد من الهجمات الكبرى في السنوات الأخيرة.
يستخدم LoJax نفس خوادم الأوامر والتحكم المستخدمة في SedUploader ، وهو برنامج ضار آخر من Sednit. يحتوي LoJax أيضًا على روابط وآثار من برامج Sednit الضارة الأخرى ، بما في ذلك XAgent (أداة خلفية أخرى) و XTunnel (أداة وكيل شبكة آمنة).
بالإضافة إلى ذلك ، وجد بحث ESET أن مشغلي البرامج الضارة "استخدموا مكونات مختلفة لـ البرامج الضارة LoJax لاستهداف عدد قليل من المنظمات الحكومية في البلقان وكذلك وسط وشرق أوروبا."
LoJax ليس أول Rootkit UEFI
من المؤكد أن أخبار LoJax جعلت عالم الأمن يجلس ويحيط علما. ومع ذلك ، فهي ليست أول مجموعة جذرية لـ UEFI. فريق القرصنة (مجموعة ضارة ، فقط في حال كنت تتساءل) كان يستخدم الجذور الخفية UEFI / BIOS مرة أخرى في عام 2015 للحفاظ على وكيل نظام التحكم عن بعد مثبتًا على الأنظمة المستهدفة.
الاختلاف الرئيسي بين مجموعة الجذور الخفية لفريق UEFI و LoJax هو طريقة التسليم. في ذلك الوقت ، اعتقد باحثو الأمن أن فريق القرصنة يتطلب الوصول المادي إلى نظام لتثبيت الإصابة على مستوى البرامج الثابتة. بالطبع ، إذا كان لدى شخص ما وصول مباشر إلى جهاز الكمبيوتر الخاص بك ، فيمكنه فعل ما يريد. ومع ذلك ، فإن مجموعة UEFI rootkit سيئة للغاية.
هل نظامك في خطر من LoJax؟
تتميز الأنظمة الحديثة المستندة إلى UEFI بالعديد من المزايا المتميزة مقارنة بنظيراتها القديمة القائمة على BIOS.
أولاً ، إنهم أحدث. الأجهزة الجديدة ليست كل شيء وتنتهي جميعها ، ولكنها تجعل العديد من مهام الحوسبة أسهل.
ثانيًا ، تحتوي البرامج الثابتة UEFI على بعض ميزات الأمان الإضافية أيضًا. ملاحظة خاصة التمهيد الآمن ، الذي يسمح فقط بتشغيل البرامج ذات التوقيع الرقمي الموقع.
إذا تم إيقاف هذا الأمر وواجهت مجموعة خفية ، فستواجه وقتًا سيئًا. يعد التمهيد الآمن أداة مفيدة بشكل خاص في العصر الحالي لبرامج الفدية أيضًا. تحقق من الفيديو التالي حول التمهيد الآمن الذي يتعامل مع برنامج NotPetya ransomware شديد الخطورة:
كان من الممكن أن يقوم NotPetya بتشفير كل شيء على النظام المستهدف إذا تم إيقاف تشغيل التمهيد الآمن.
LoJax هو نوع مختلف من الوحش تماما. على عكس التقارير السابقة ، حتى التمهيد الآمن لا يمكنه إيقاف LoJax. من المهم للغاية الحفاظ على تحديث برنامج UEFI الثابت. يوجد بعض الأدوات المتخصصة لمكافحة الجذور الخفية الدليل الكامل لإزالة البرامج الضارةالبرامج الضارة موجودة في كل مكان هذه الأيام ، والقضاء على البرامج الضارة من نظامك عملية طويلة تتطلب التوجيه. إذا كنت تعتقد أن جهاز الكمبيوتر الخاص بك مصاب ، فهذا هو الدليل الذي تحتاجه. اقرأ أكثر أيضًا ، ولكن من غير الواضح ما إذا كان بإمكانهم الحماية ضد LoJax.
ومع ذلك ، مثل العديد من التهديدات بهذا المستوى من القدرات ، يعد جهاز الكمبيوتر هدفًا رئيسيًا. تركز البرمجيات الخبيثة المتقدمة في الغالب على الأهداف عالية المستوى. علاوة على ذلك ، لدى LoJax دلائل على تورط الفاعلين في تهديد الدولة القومية ؛ فرصة قوية أخرى لن يؤثر عليها LoJax على المدى القصير. ومع ذلك ، فإن البرامج الضارة لديها طريقة للتصفية إلى العالم. إذا اكتشف مجرمو الإنترنت الاستخدام الناجح لـ LoJax ، فقد يصبح أكثر شيوعًا في هجمات البرامج الضارة العادية.
كما هو الحال دائمًا ، يعد إبقاء نظامك محدثًا من أفضل الطرق لحماية نظامك. يعد اشتراك Malwarebytes Premium مساعدة كبيرة أيضًا. 5 أسباب للترقية إلى Malwarebytes Premium: نعم ، إنه يستحق ذلكفي حين أن الإصدار المجاني من Malwarebytes رائع ، فإن الإصدار المتميز يحتوي على مجموعة من الميزات المفيدة والجديرة بالاهتمام. اقرأ أكثر
جافين هو كاتب أول في MUO. وهو أيضًا محرر ومدير تحسين محركات البحث لموقع شقيق MakeUseOf الذي يركز على التشفير ، Blocks Decoded. حصل على درجة البكالوريوس (مع مرتبة الشرف) في الكتابة المعاصرة مع ممارسات الفن الرقمي المنهوبة من تلال ديفون ، بالإضافة إلى أكثر من عقد من الخبرة في الكتابة المهنية. يتمتع بكميات وفيرة من الشاي.