Forskere løfter sløret for flere detaljer om avanceret UEFI-rootkit

1 kommentar.  Hop til debatten
Forskere løfter sløret for flere detaljer om avanceret UEFI-rootkit
Illustration: Virrage Images/Bigstock.
Flere detaljer om, hvordan Lojax-rootkittet fungerer, er kommet frem.
3. januar 2019 kl. 12:05
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

It-sikkerhedsforskere ved ESET har fremlagt flere detaljer om, hvordan et avanceret firmware-rootkit kaldet Lojax fungerer. Detaljerne er fremkommet under den årlige Computer Chaos Club-konference i forbindelse med en præsentation af Frederic Vachon fra ESET.

Det fortæller The Register.

Malwaren bliver ifølge det britiske medie brugt af hackergruppen Fancy Bear, som menes af være støttet af den russiske regering.

Sådan inficerer Lojax systemer

En bruger lokkes til at åbne en ondsindet fil. Herefter forsøger malwaren af kompromittere en sårbar driver (RwDrv.sys). Driveren bliver så indlæst af computerens UEFI-firmware (Unified Extensible Firmware Interface) under næste boot, hvorefter rootkittet bliver installeret i computerens flashhukommelse.

Artiklen fortsætter efter annoncen

I forbindelse med inficeringen udnytter Lojax en kendt race-condition til at omgå firmwarens skrivebeskyttelse. Herefter sørger den kompromitterede firmware for, at malwaren bliver installeret og kører, hver gang styresystemet booter. Da malwaren udspringer af firmwaren, er det svært at slippe af med den igen fuldstændigt uden at gen-flashe bundkortet.

En måde at undgå Lojax-inficering på skulle være ved at aktivere Secure Boot og sætte et kodeord i BIOS.

Læs flere detaljer hos The Register her og her.

1 kommentar.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger