Klíčové poznatky
- Bezpečnostní výzkumníci objevili jedinečný malware, který infikuje flash paměť na základní desce.
- Odstranit malware je obtížné a výzkumníci zatím nechápou, jak se vůbec dostane do počítače.
-
Bootkit malware se bude nadále vyvíjet, varují výzkumníci.
Dezinfekce počítače vyžaduje nějakou práci tak, jak je. Díky novému malwaru je tento úkol ještě obtížnější, protože bezpečnostní výzkumníci zjistili, že je zapuštěný tak hluboko do počítače, že pravděpodobně budete muset zahodit základní desku, abyste se ho zbavili.
Bezpečnostní detektivové z Kaspersky, kteří jej objevili, nazvali MoonBounce, malware, odborně nazývaný bootkit, prochází za pevný disk a zavrtává se do spouštěcího firmwaru počítače Unified Extensible Firmware Interface (UEFI).
"Útok je velmi sofistikovaný," řekl Lifewire e-mailem Tomer Bar, ředitel bezpečnostního výzkumu v SafeBreach. "Jakmile je oběť infikována, je velmi perzistentní, protože ani formátování pevného disku nepomůže."
Nová hrozba
Bootkit malware je vzácný, ale ne zcela nový, přičemž společnost Kaspersky sama objevila dva další v posledních několika letech. Nicméně, co dělá MoonBounce jedinečným, je to, že infikuje flash paměť umístěnou na základní desce, takže je nepropustná pro antivirový software a všechny ostatní obvyklé prostředky k odstranění malwaru.
Ve skutečnosti výzkumníci společnosti Kaspersky poznamenávají, že uživatelé mohou přeinstalovat operační systém a vyměnit pevný disk, ale bootkit zůstane na infikovaném počítači, dokud uživatelé znovu neflashují infikovanou flash paměť, jak popisují jako "velmi složitý proces" nebo úplně vyměnit základní desku.
Co dělá malware ještě nebezpečnějším, dodal Bar, je to, že malware je bez souborů, což znamená, že se nespoléhá na soubory, které mohou antivirové programy označit, a nezanechává na infikovaném počítači žádné zjevné stopy, takže je velmi obtížné dohledat.
Na základě analýzy malwaru výzkumníci Kaspersky poznamenávají, že MoonBounce je prvním krokem ve vícefázovém útoku. Nepoctiví herci stojící za MoonBounce používají malware k vytvoření oporu v počítači oběti, který pak mohou využít k nasazení dalších hrozeb ke krádeži dat nebo nasazení ransomwaru.
Spásou však je, že výzkumníci dosud našli pouze jeden výskyt malwaru. "Je to však velmi sofistikovaná sada kódu, což je znepokojivé; když nic jiného, předznamenává pravděpodobnost dalšího pokročilého malwaru v budoucnu," varoval Tim Helming, bezpečnostní evangelista z DomainTools, e-mailem Lifewire.
Therese Schachner, konzultantka pro kybernetickou bezpečnost ve VPNBrains souhlasila. "Vzhledem k tomu, že MoonBounce je obzvláště tajný, je možné, že existují další případy útoků MoonBounce, které ještě nebyly objeveny."
Naočkujte svůj počítač
Výzkumníci poznamenávají, že malware byl detekován pouze proto, že útočníci udělali chybu, když použili stejné komunikační servery (technicky známé jako servery pro příkazy a řízení) jako jiný známý malware.
Helming však dodal, že protože není zřejmé, jak probíhá počáteční infekce, je prakticky nemožné dát velmi konkrétní pokyny, jak se nákaze vyhnout. Dodržování dobře přijímaných osvědčených bezpečnostních postupů je však dobrý začátek.
Zatímco samotný malware postupuje, základní chování, kterému by se měl průměrný uživatel vyhnout, aby se ochránil, se ve skutečnosti nezměnilo. Udržování softwaru, zejména bezpečnostního, je důležité. Vyhýbání se klikání na podezřelé odkazy zůstává dobrou strategií,“navrhl společnosti Lifewire e-mailem Tim Erlin, viceprezident pro strategii společnosti Tripwire.
… je možné, že existují další případy útoků MoonBounce, které ještě nebyly objeveny.
K tomuto návrhu přidal Stephen Gates, bezpečnostní evangelista ze společnosti Checkmarx, prostřednictvím e-mailu Lifewire řekl, že průměrný uživatel počítače musí jít nad rámec tradičních antivirových nástrojů, které nemohou zabránit útokům bez souborů, jako je MoonBounce.
"Hledejte nástroje, které dokážou využít ovládání skriptů a ochranu paměti, a zkuste použít aplikace od organizací, které používají bezpečné, moderní metodologie vývoje aplikací, od spodní části zásobníku až nahoru," navrhl Gates.
Bar na druhé straně obhajoval použití technologií, jako je SecureBoot a TPM, k ověření, že spouštěcí firmware nebyl upraven jako účinná technika zmírnění malwaru bootkit.
Schachner podobným způsobem navrhl, že instalace aktualizací firmwaru UEFI po jejich vydání pomůže uživatelům začlenit opravy zabezpečení, které lépe ochrání jejich počítače před novými hrozbami, jako je MoonBounce.
Kromě toho také doporučila používat bezpečnostní platformy, které zahrnují detekci hrozeb firmwaru. „Tato bezpečnostní řešení umožňují uživatelům být informováni o potenciálních hrozbách firmwaru co nejdříve, aby je bylo možné řešit včas, než se hrozby vystupňují.“