Key takeaways
- Sikkerhedsforskere har opdaget en unik malware, der inficerer flashhukommelsen på bundkortet.
- Malwaren er svær at fjerne, og forskere forstår endnu ikke, hvordan den kommer ind i computeren i første omgang.
-
Bootkit malware vil fortsætte med at udvikle sig, advarer forskere.
At desinficere en computer kræver noget at gøre, som den er. En ny malware gør opgaven endnu mere besværlig, da sikkerhedsforskere har opdaget, at den indlejrer sig så dybt i computeren, at du sandsynligvis bliver nødt til at sænke bundkortet for at slippe af med det.
Dubbet MoonBounce af sikkerhedseksperterne hos Kaspersky, der opdagede det, går malwaren, teknisk kaldet et bootkit, ud over harddisken og graver sig ned i computerens Unified Extensible Firmware Interface (UEFI) boot-firmware.
"Angrebet er meget sofistikeret," fort alte Tomer Bar, direktør for sikkerhedsforskning hos SafeBreach, til Lifewire via e-mail. "Når først offeret er inficeret, er det meget vedvarende, da selv et harddiskformat ikke hjælper."
Novel Threat
Bootkit-malware er sjældne, men ikke helt nye, hvor Kaspersky selv har opdaget to andre inden for de seneste par år. Det, der dog gør MoonBounce unik, er, at det inficerer flashhukommelsen på bundkortet, hvilket gør det uigennemtrængeligt for antivirussoftware og alle de andre sædvanlige metoder til at fjerne malware.
Faktisk bemærker Kaspersky-forskerne, at brugere kan geninstallere operativsystemet og udskifte harddisken, men bootkittet vil fortsætte med at forblive på den inficerede computer, indtil brugerne enten genflasher den inficerede flashhukommelse, som de beskriver som "en meget kompleks proces", eller udskift bundkortet helt.
Det, der gør malwaren endnu mere farlig, tilføjede Bar, er, at malwaren er filløs, hvilket betyder, at den ikke er afhængig af filer, som antivirusprogrammer kan markere og ikke efterlader noget synligt fodaftryk på den inficerede computer, hvilket gør den meget svært at spore.
Baseret på deres analyse af malwaren bemærker Kaspersky-forskerne, at MoonBounce er det første skridt i et flertrinsangreb. De useriøse aktører bag MoonBounce bruger malwaren til at etablere fodfæste i offerets computer, som de så kan bruge til at implementere yderligere trusler for at stjæle data eller implementere ransomware.
Den reddende nåde er dog, at forskerne kun har fundet én forekomst af malwaren indtil nu. "Men det er et meget sofistikeret sæt kode, som er bekymrende; om ikke andet, varsler det sandsynligheden for anden, avanceret malware i fremtiden," advarede Tim Helming, sikkerhedsevangelist hos DomainTools, Lifewire via e-mail.
Therese Schachner, Cybersikkerhedskonsulent hos VPNBrains var enig. "Da MoonBounce er særligt snigende, er det muligt, at der er yderligere tilfælde af MoonBounce-angreb, som endnu ikke er blevet opdaget."
Pod din computer
Forskerne bemærker, at malwaren kun blev opdaget, fordi angriberne begik den fejl at bruge de samme kommunikationsservere (teknisk kendt som kommando- og kontrolservere) som en anden kendt malware.
Helming tilføjede imidlertid, at da det ikke er tydeligt, hvordan den første infektion finder sted, er det praktisk t alt umuligt at give meget specifikke anvisninger om, hvordan man undgår at blive smittet. Det er dog en god start at følge den velaccepterede bedste praksis for sikkerhed.
"Mens selve malwaren udvikler sig, har den grundlæggende adfærd, som den gennemsnitlige bruger bør undgå for at beskytte sig selv, ikke rigtig ændret sig. Det er vigtigt at holde software opdateret, især sikkerhedssoftware. At undgå at klikke på mistænkelige links er fortsat en god strategi," foreslog Tim Erlin, VP for strategi hos Tripwire, til Lifewire via e-mail.
… det er muligt, at der er yderligere tilfælde af MoonBounce-angreb, der endnu ikke er blevet opdaget.
For at tilføje dette forslag fort alte Stephen Gates, sikkerhedsevangelist hos Checkmarx, Lifewire via e-mail, at den gennemsnitlige desktopbruger er nødt til at gå videre end traditionelle antivirusværktøjer, som ikke kan forhindre filløse angreb, såsom MoonBounce.
"Søg efter værktøjer, der kan udnytte scriptkontrol og hukommelsesbeskyttelse, og prøv at bruge applikationer fra organisationer, der anvender sikre, moderne applikationsudviklingsmetoder, fra bunden af stakken til toppen," foreslog Gates.
Bar på den anden side gik ind for brugen af teknologier, såsom SecureBoot og TPM, for at verificere, at boot-firmwaren ikke er blevet ændret som en effektiv afbødningsteknik mod bootkit-malware.
Schachner foreslog på lignende linjer, at installation af UEFI-firmwareopdateringer, efterhånden som de frigives, vil hjælpe brugerne med at indarbejde sikkerhedsrettelser, der bedre beskytter deres computere mod nye trusler såsom MoonBounce.
Yderligere anbefalede hun også at bruge sikkerhedsplatforme, der inkorporerer registrering af firmware-trusler. "Disse sikkerhedsløsninger giver brugerne mulighed for at blive informeret om potentielle firmware-trusler så hurtigt som muligt, så de kan løses rettidigt, før truslerne eskalerer."
