Fins i tot substituint el disc dur no eliminarà aquest programari maliciós

Taula de continguts:

Fins i tot substituint el disc dur no eliminarà aquest programari maliciós
Fins i tot substituint el disc dur no eliminarà aquest programari maliciós
Anonim

Clau per emportar

  • Els investigadors de seguretat han descobert un programari maliciós únic que infecta la memòria flash de la placa base.
  • El programari maliciós és difícil d'eliminar i els investigadors encara no entenen com entra a l'ordinador en primer lloc.
  • El programari maliciós de

  • Bootkit continuarà evolucionant, adverteixen els investigadors.

Image
Image

Desinfectar un ordinador requereix una mica de feina tal com és. Un nou programari maliciós fa que la tasca sigui encara més complicada, ja que els investigadors de seguretat han descobert que s'incrusta tan profundament a l'ordinador que probablement haureu de tirar la placa base per desfer-se'n.

Doblat MoonBounce pels detectius de seguretat de Kaspersky que el van descobrir, el programari maliciós, tècnicament anomenat bootkit, travessa més enllà del disc dur i s'enterra en el firmware d'arrencada de la Interfície de programari extensible unificada (UEFI) de l'ordinador.

"L'atac és molt sofisticat", va dir Tomer Bar, director d'investigació de seguretat de SafeBreach, a Lifewire per correu electrònic. "Una vegada que la víctima està infectada, és molt persistent, ja que fins i tot el format del disc dur no ajudarà."

Amenaça nova

El programari maliciós Bootkit és rar, però no completament nou, ja que el mateix Kaspersky n'ha descobert dos més en els últims dos anys. Tanmateix, el que fa que MoonBounce sigui únic és que infecta la memòria flaix situada a la placa base, la qual cosa la fa impermeable al programari antivirus i a tots els altres mitjans habituals per eliminar el programari maliciós.

De fet, els investigadors de Kaspersky assenyalen que els usuaris poden reinstal·lar el sistema operatiu i substituir el disc dur, però el kit d'arrencada continuarà romanent a l'ordinador infectat fins que els usuaris tornen a flashejar la memòria flash infectada, que descriuen. com "un procés molt complex", o substituir la placa base completament.

Image
Image

El que fa que el programari maliciós sigui encara més perillós, va afegir Bar, és que el programari maliciós no té fitxers, la qual cosa significa que no depèn dels fitxers que els programes antivirus poden marcar i no deixa empremta aparent a l'ordinador infectat, cosa que fa que sigui molt difícil de rastrejar.

Segons la seva anàlisi del programari maliciós, els investigadors de Kaspersky assenyalen que MoonBounce és el primer pas d'un atac en diverses etapes. Els actors canalla que hi ha darrere de MoonBounce utilitzen el programari maliciós per establir un punt d'accés a l'ordinador de la víctima, que creuen que es pot utilitzar per desplegar amenaces addicionals per robar dades o implementar programari ransom..

La gràcia salvadora, però, és que els investigadors només han trobat una instància del programari maliciós fins ara. "No obstant això, és un conjunt de codi molt sofisticat, que és preocupant; si no és res més, anuncia la probabilitat d'un altre programari maliciós avançat en el futur", va advertir a Lifewire per correu electrònic Tim Helming, evangelista de seguretat de DomainTools.

Therese Schachner, consultora de seguretat cibernètica de VPNBrains va estar d'acord. "Com que MoonBounce és particularment sigilós, és possible que hi hagi casos addicionals d'atacs de MoonBounce que encara no s'han descobert."

Inocular l'ordinador

Els investigadors assenyalen que el programari maliciós només es va detectar perquè els atacants van cometre l'error d'utilitzar els mateixos servidors de comunicació (coneguts tècnicament com a servidors de comandament i control) que un altre programari maliciós conegut.

No obstant això, Helming va afegir que, com que no és evident com es produeix la infecció inicial, és pràcticament impossible donar instruccions molt específiques sobre com evitar infectar-se. Tanmateix, seguir les bones pràctiques de seguretat acceptades és un bon començament.

"Mentre el programari maliciós avança, els comportaments bàsics que l'usuari mitjà hauria d'evitar per protegir-se no han canviat realment. Mantenir el programari actualitzat, especialment el de seguretat, és important. Evitar fer clic en enllaços sospitosos segueix sent una bona estratègia", va suggerir Tim Erlin, vicepresident d'estratègia de Tripwire, a Lifewire per correu electrònic.

… és possible que hi hagi casos addicionals d'atacs de MoonBounce que encara no s'han descobert.

Afegit a aquest suggeriment, Stephen Gates, Evangelista de seguretat de Checkmarx, va dir a Lifewire per correu electrònic que l'usuari mitjà d'escriptori ha d'anar més enllà de les eines antivirus tradicionals, que no poden evitar atacs sense fitxers, com ara MoonBounce..

"Cerqueu eines que puguin aprofitar el control d'scripts i la protecció de la memòria, i proveu d'utilitzar aplicacions d'organitzacions que utilitzen metodologies de desenvolupament d'aplicacions modernes i segures, des de la part inferior de la pila fins a la part superior", va suggerir Gates..

Image
Image

Bar, d' altra banda, va defensar l'ús de tecnologies, com ara SecureBoot i TPM, per verificar que el microprogramari d'arrencada no s'ha modificat com a tècnica de mitigació eficaç contra el programari maliciós d'arrencada.

Schachner, en línies similars, va suggerir que instal·lar actualitzacions de microprogramari UEFI a mesura que es publiquin ajudarà els usuaris a incorporar solucions de seguretat que protegeixen millor els seus ordinadors contra amenaces emergents com MoonBounce..

A més, també va recomanar utilitzar plataformes de seguretat que incorporin la detecció d'amenaces de microprogramari. "Aquestes solucions de seguretat permeten que els usuaris estiguin informats de possibles amenaces de microprogramari tan aviat com sigui possible perquè puguin ser abordats de manera oportuna abans que les amenaces augmentin."

Recomanat: