O que é o rootkit UEFI “LoJax” desenvolvido por hackers russos?

Um rootkit é um tipo de malware particularmente desagradável. Uma infecção de malware “regular” é carregada quando você entra no sistema operacional. Ainda é uma situação ruim, mas um antivírus decente deve remover o malware e limpar seu sistema.

Por outro lado, um rootkit é instalado no firmware do sistema e permite a instalação de uma carga maliciosa toda vez que você reinicializa o sistema.

Pesquisadores de segurança identificaram uma nova variante de rootkit na natureza, chamada LoJax. O que diferencia este rootkit dos outros? Bem, isso pode infectar sistemas modernos baseados em UEFI, em vez de sistemas baseados em BIOS mais antigos. E isso é um problema.

O LoJax UEFI Rootkit

A ESET Research publicou um trabalho de pesquisa que detalha o LoJax, um rootkit recentemente descoberto (o que é um rootkit? ) Que refeta com sucesso um software comercial de mesmo nome. (Embora a equipe de pesquisa tenha batizado o malware “LoJax”, o software original é chamado de “LoJack”.)

Além da ameaça, o LoJax pode sobreviver a uma reinstalação completa do Windows e até à substituição do disco rígido.

O malware sobrevive atacando o sistema de inicialização do firmware UEFI. Outros rootkits podem se esconder em drivers ou setores de inicialização , dependendo da codificação e da intenção do invasor. O LoJax conecta-se ao firmware do sistema e infecta novamente o sistema antes que o sistema operacional seja carregado.

Até agora, o único método conhecido para remover completamente o malware LoJax é o novo firmware em flash sobre o sistema suspeito . Um flash de firmware não é algo com que a maioria dos usuários tenha experiência. Embora seja mais fácil do que no passado, ainda é significativo que a atualização de um firmware esteja errada, potencialmente prejudicando a máquina em questão.

Como funciona o rootkit LoJax?

O LoJax usa uma versão reembalada do software anti-roubo LoJack da Absolute Software. A ferramenta original deve ser persistente em toda a limpeza do sistema ou substituição de disco rígido, para que o licenciado possa rastrear um dispositivo roubado. As razões para a ferramenta penetrar tão profundamente no computador são bastante legítimas, e o LoJack ainda é um produto anti-roubo popular para essas qualidades exatas.

Dado que, nos EUA, 97% dos laptops roubados nunca são recuperados , é compreensível que os usuários desejem proteção extra para um investimento tão caro.

O LoJax usa um driver de kernel, o RwDrv.sys , para acessar as configurações do BIOS / UEFI. O driver do kernel é empacotado com o RWEverything, uma ferramenta legítima usada para ler e analisar configurações de computador de baixo nível (bits aos quais você normalmente não tem acesso). Havia outras três ferramentas no processo de infecção por rootkit LoJax:

  • A primeira ferramenta copia informações sobre as configurações do sistema de baixo nível (copiadas do RWEverything) para um arquivo de texto. Ignorar a proteção do sistema contra atualizações de firmware maliciosas exige conhecimento do sistema.
  • A segunda ferramenta “salva uma imagem do firmware do sistema em um arquivo lendo o conteúdo da memória flash SPI”. A memória flash SPI hospeda o UEFI / BIOS.
  • Uma terceira ferramenta adiciona o módulo malicioso à imagem do firmware e grava-o de volta na memória flash SPI.

Se o LoJax perceber que a memória flash SPI está protegida, ele explora uma vulnerabilidade conhecida ( CVE-2014-8273 ) para acessá-la, depois continua e grava o rootkit na memória.

De onde o LoJax veio?

A equipe de pesquisa da ESET acredita que o LoJax é o trabalho do infame grupo de hackers russo Fancy Bear / Sednit / Strontium / APT28. O grupo de hackers é responsável por vários grandes ataques nos últimos anos.

O LoJax usa os mesmos servidores de comando e controle que o SedUploader, outro malware backdoor da Sednit. O LoJax também possui links e rastreios de outros malwares do Sednit, incluindo o XAgent (outra ferramenta de backdoor) e o XTunnel (uma ferramenta de proxy de rede segura).


Além disso, a pesquisa da ESET descobriu que os operadores de malware “usavam diferentes componentes do malware LoJax para atingir algumas organizações governamentais nos Bálcãs, bem como na Europa Central e Oriental”.

LoJax não é o primeiro rootkit UEFI

As notícias do LoJax certamente fizeram com que o mundo da segurança sentasse e tomasse nota. No entanto, este não é o primeiro rootkit da UEFI. A Equipe de Hackers (um grupo malicioso, caso você esteja se perguntando) estava usando um rootkit UEFI / BIOS em 2015 para manter um agente do sistema de controle remoto instalado nos sistemas de destino.

A principal diferença entre o rootkit UEFI do Hacking Team e o LoJax é o método de entrega. Na época, os pesquisadores de segurança acharam que o Hacking Team exigia acesso físico a um sistema para instalar a infecção no nível do firmware. Claro, se alguém tem acesso direto ao seu computador, eles podem fazer o que quiserem. Ainda assim, o rootkit UEFI é especialmente desagradável.

O seu sistema está em risco com o LoJax?

Os modernos sistemas baseados em UEFI têm várias vantagens distintas sobre suas contrapartes antigas baseadas em BIOS.

Por um lado, eles são mais novos. O novo hardware não é tudo e acaba com tudo, mas facilita muitas tarefas de computação.

Em segundo lugar, o firmware UEFI também possui alguns recursos de segurança adicionais. Particularmente notável é o Secure Boot, que permite apenas que programas com assinatura digital assinada sejam executados .

Se isso estiver desativado e você encontrar um rootkit, você terá um mau momento. Secure Boot é uma ferramenta particularmente útil na era atual do ransomware também. Confira o seguinte vídeo do Secure Boot lidando com o extremamente perigoso ransomware NotPetya:

O NotPetya teria criptografado tudo no sistema de destino se o Secure Boot tivesse sido desligado.

LoJax é um tipo diferente de animal completamente. Ao contrário dos relatórios anteriores, mesmo o Secure Boot não pode parar o LoJax . Manter o seu firmware UEFI atualizado é extremamente importante. Também existem algumas ferramentas especializadas anti-rootkit , mas não está claro se elas podem proteger contra o LoJax.

Informações via www.makeuseof.com

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *