Forskere løfter sløret for flere detaljer om avanceret UEFI-rootkit
It-sikkerhedsforskere ved ESET har fremlagt flere detaljer om, hvordan et avanceret firmware-rootkit kaldet Lojax fungerer. Detaljerne er fremkommet under den årlige Computer Chaos Club-konference i forbindelse med en præsentation af Frederic Vachon fra ESET.
Malwaren bliver ifølge det britiske medie brugt af hackergruppen Fancy Bear, som menes af være støttet af den russiske regering.
Sådan inficerer Lojax systemer
En bruger lokkes til at åbne en ondsindet fil. Herefter forsøger malwaren af kompromittere en sårbar driver (RwDrv.sys). Driveren bliver så indlæst af computerens UEFI-firmware (Unified Extensible Firmware Interface) under næste boot, hvorefter rootkittet bliver installeret i computerens flashhukommelse.
I forbindelse med inficeringen udnytter Lojax en kendt race-condition til at omgå firmwarens skrivebeskyttelse. Herefter sørger den kompromitterede firmware for, at malwaren bliver installeret og kører, hver gang styresystemet booter. Da malwaren udspringer af firmwaren, er det svært at slippe af med den igen fuldstændigt uden at gen-flashe bundkortet.
En måde at undgå Lojax-inficering på skulle være ved at aktivere Secure Boot og sætte et kodeord i BIOS.
