Forskere løfter sløret for flere detaljer om avanceret UEFI-rootkit

3. januar 2019 kl. 12:051
Forskere løfter sløret for flere detaljer om avanceret UEFI-rootkit
Illustration: Virrage Images/Bigstock.
Flere detaljer om, hvordan Lojax-rootkittet fungerer, er kommet frem.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

It-sikkerhedsforskere ved ESET har fremlagt flere detaljer om, hvordan et avanceret firmware-rootkit kaldet Lojax fungerer. Detaljerne er fremkommet under den årlige Computer Chaos Club-konference i forbindelse med en præsentation af Frederic Vachon fra ESET.

Det fortæller The Register.

Malwaren bliver ifølge det britiske medie brugt af hackergruppen Fancy Bear, som menes af være støttet af den russiske regering.

Sådan inficerer Lojax systemer

En bruger lokkes til at åbne en ondsindet fil. Herefter forsøger malwaren af kompromittere en sårbar driver (RwDrv.sys). Driveren bliver så indlæst af computerens UEFI-firmware (Unified Extensible Firmware Interface) under næste boot, hvorefter rootkittet bliver installeret i computerens flashhukommelse.

Artiklen fortsætter efter annoncen

I forbindelse med inficeringen udnytter Lojax en kendt race-condition til at omgå firmwarens skrivebeskyttelse. Herefter sørger den kompromitterede firmware for, at malwaren bliver installeret og kører, hver gang styresystemet booter. Da malwaren udspringer af firmwaren, er det svært at slippe af med den igen fuldstændigt uden at gen-flashe bundkortet.

En måde at undgå Lojax-inficering på skulle være ved at aktivere Secure Boot og sætte et kodeord i BIOS.

Læs flere detaljer hos The Register her og her.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger