Ключевые выводы
- Исследователи безопасности обнаружили уникальную вредоносную программу, которая заражает флэш-память на материнской плате.
- Вредоносное ПО трудно удалить, и исследователи пока не понимают, как оно вообще попадает в компьютер.
-
Вредоносное ПО Bootkit будет продолжать развиваться, предупреждают исследователи.
Дезинфекция компьютера требует определенных действий. Новое вредоносное ПО еще больше усложняет задачу, так как исследователи безопасности обнаружили, что оно настолько глубоко внедряется в компьютер, что вам, вероятно, придется выбросить материнскую плату, чтобы избавиться от него.
Названное MoonBounce исследователями безопасности из «Лаборатории Касперского», обнаружившими его, вредоносное ПО, технически называемое буткитом, проникает за пределы жесткого диска и внедряется в загрузочную прошивку Unified Extensible Firmware Interface (UEFI) компьютера.
«Атака очень изощренная», - сказал Lifewire по электронной почте Томер Бар, директор по исследованиям в области безопасности в SafeBreach. «После того, как жертва заражена, она очень устойчива, так как даже форматирование жесткого диска не поможет».
Новая угроза
Вредоносные программы Bootkit встречаются редко, но не совсем новы: за последние пару лет сама «Лаборатория Касперского» обнаружила две другие. Однако уникальность MoonBounce заключается в том, что он заражает флэш-память, расположенную на материнской плате, что делает ее непроницаемой для антивирусного программного обеспечения и всех других обычных средств удаления вредоносных программ.
На самом деле исследователи Касперского отмечают, что пользователи могут переустановить операционную систему и заменить жесткий диск, но буткит будет продолжать оставаться на зараженном компьютере до тех пор, пока пользователи не перепрошьют зараженную флеш-память, что они описывают как «очень сложный процесс», или полностью заменить материнскую плату.
Что делает вредоносное ПО еще более опасным, добавил Бар, так это то, что вредоносное ПО не имеет файлов, что означает, что оно не полагается на файлы, которые могут быть помечены антивирусными программами, и не оставляет видимых следов на зараженном компьютере, что делает его очень опасным. трудно отследить.
Исходя из анализа вредоносного ПО, исследователи «Лаборатории Касперского» отмечают, что MoonBounce - это первый этап многоэтапной атаки. Злоумышленники, стоящие за MoonBounce, используют вредоносное ПО, чтобы закрепиться на компьютере жертвы, который, как они понимают, может быть использован для развертывания дополнительных угроз для кражи данных или развертывания программ-вымогателей.
Спасительной благодатью является то, что до сих пор исследователи обнаружили только один экземпляр вредоносного ПО. «Тем не менее, это очень сложный набор кода, который вызывает беспокойство; по крайней мере, он предвещает вероятность появления других, более совершенных вредоносных программ в будущем», - предупредил Lifewire по электронной почте Тим Хелминг, евангелист по безопасности из DomainTools.
Тереза Шахнер, консультант по кибербезопасности в VPNBrains согласилась. «Поскольку MoonBounce особенно незаметен, возможно, существуют дополнительные случаи атак MoonBounce, которые еще не обнаружены».
Заразите свой компьютер
Исследователи отмечают, что вредоносное ПО было обнаружено только потому, что злоумышленники допустили ошибку, использовав те же коммуникационные серверы (технически известные как серверы управления и контроля), что и другое известное вредоносное ПО.
Однако Хелминг добавил, что, поскольку неясно, как происходит первоначальное заражение, практически невозможно дать очень конкретные указания о том, как избежать заражения. Тем не менее, следование общепринятым рекомендациям по обеспечению безопасности - хорошее начало.
Несмотря на развитие самих вредоносных программ, основные модели поведения, которых средний пользователь должен избегать, чтобы защитить себя, на самом деле не изменились. Поддержание программного обеспечения в актуальном состоянии, особенно программного обеспечения для обеспечения безопасности, очень важно. Избегание переходов по подозрительным ссылкам остается хорошей стратегией», - предложил Lifewire по электронной почте Тим Эрлин, вице-президент по стратегии Tripwire.
… возможно, существуют дополнительные случаи атак MoonBounce, которые еще не обнаружены.
Добавляя к этому предложению, Стивен Гейтс, евангелист по безопасности в Checkmarx, сообщил Lifewire по электронной почте, что средний пользователь настольного компьютера должен выйти за рамки традиционных антивирусных инструментов, которые не могут предотвратить бесфайловые атаки, такие как MoonBounce.
«Ищите инструменты, которые могут использовать управление сценариями и защиту памяти, и пытайтесь использовать приложения от организаций, которые используют безопасные, современные методологии разработки приложений, снизу вверх», - предложил Гейтс.
Бар, с другой стороны, выступает за использование таких технологий, как SecureBoot и TPM, для проверки того, что загрузочная прошивка не была изменена, в качестве эффективного метода защиты от вредоносных программ-буткитов.
Шахнер в том же духе предположил, что установка обновлений прошивки UEFI по мере их выпуска поможет пользователям включать исправления безопасности, которые лучше защищают их компьютеры от новых угроз, таких как MoonBounce.
Кроме того, она также рекомендовала использовать платформы безопасности, которые включают обнаружение угроз прошивки. «Эти решения для обеспечения безопасности позволяют пользователям как можно быстрее получать информацию о потенциальных угрозах, связанных с прошивкой, чтобы их можно было своевременно устранить до того, как угроза обострится».