Forskere løfter sløret for flere detaljer om avanceret UEFI-rootkit

Flere detaljer om, hvordan Lojax-rootkittet fungerer, er kommet frem.

It-sikkerhedsforskere ved ESET har fremlagt flere detaljer om, hvordan et avanceret firmware-rootkit kaldet Lojax fungerer. Detaljerne er fremkommet under den årlige Computer Chaos Club-konference i forbindelse med en præsentation af Frederic Vachon fra ESET.

Det fortæller The Register.

Malwaren bliver ifølge det britiske medie brugt af hackergruppen Fancy Bear, som menes af være støttet af den russiske regering.

Sådan inficerer Lojax systemer

En bruger lokkes til at åbne en ondsindet fil. Herefter forsøger malwaren af kompromittere en sårbar driver (RwDrv.sys). Driveren bliver så indlæst af computerens UEFI-firmware (Unified Extensible Firmware Interface) under næste boot, hvorefter rootkittet bliver installeret i computerens flashhukommelse.

I forbindelse med inficeringen udnytter Lojax en kendt race-condition til at omgå firmwarens skrivebeskyttelse. Herefter sørger den kompromitterede firmware for, at malwaren bliver installeret og kører, hver gang styresystemet booter. Da malwaren udspringer af firmwaren, er det svært at slippe af med den igen fuldstændigt uden at gen-flashe bundkortet.

En måde at undgå Lojax-inficering på skulle være ved at aktivere Secure Boot og sætte et kodeord i BIOS.

Læs flere detaljer hos The Register her og her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere