Forskere løfter sløret for flere detaljer om avanceret UEFI-rootkit
It-sikkerhedsforskere ved ESET har fremlagt flere detaljer om, hvordan et avanceret firmware-rootkit kaldet Lojax fungerer. Detaljerne er fremkommet under den årlige Computer Chaos Club-konference i forbindelse med en præsentation af Frederic Vachon fra ESET.
Malwaren bliver ifølge det britiske medie brugt af hackergruppen Fancy Bear, som menes af være støttet af den russiske regering.
Sådan inficerer Lojax systemer
En bruger lokkes til at åbne en ondsindet fil. Herefter forsøger malwaren af kompromittere en sårbar driver (RwDrv.sys). Driveren bliver så indlæst af computerens UEFI-firmware (Unified Extensible Firmware Interface) under næste boot, hvorefter rootkittet bliver installeret i computerens flashhukommelse.
I forbindelse med inficeringen udnytter Lojax en kendt race-condition til at omgå firmwarens skrivebeskyttelse. Herefter sørger den kompromitterede firmware for, at malwaren bliver installeret og kører, hver gang styresystemet booter. Da malwaren udspringer af firmwaren, er det svært at slippe af med den igen fuldstændigt uden at gen-flashe bundkortet.
En måde at undgå Lojax-inficering på skulle være ved at aktivere Secure Boot og sætte et kodeord i BIOS.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
