Rootkit هي مجموعة من أدوات البرامج التي تمكن المستخدم غير المصرح له من التحكم في نظام الكمبيوتر دون ان يتم الكشف عنه.
وعلى العكس ، يقوم برنامج Rootkit بتثبيت البرامج الثابتة للنظام الخاص بك ويسمح بتثبيت حمولة ضارة في كل مرة تقوم فيها بإعادة تشغيل النظام.
وقد رصد باحثون أمنيون نوعاً جديداً من Rootkit يدعى LoJax. ما يميز هذ ه الـ Rootkit بغض النظر عن الادوات الاخرى؟ أنها ، يمكن أن تصيب أنظمة حديثة UEFI ، بدلا من النظم القائمة على BIOS القديمة. وهذه هي المشكلة.
LoJax و UEFI Rootkit
نشرت ESET للأبحاث ورقة بحثية تفصّل LoJax ، وهي Rootkit المكتشفة حديثًا والتي تعيد بنجاح صياغة برنامج تجاري يحمل الاسم نفسه. (على الرغم من أن فريق البحث قام بتسمية البرنامج الضار "LoJax" ، إلا أن البرنامج الأصلي يدعى "LoJack".)إضافة إلى التهديد الذي قد يسببه ، يمكن لـ LoJax البقاء نشطاً حتى بعد إعادة تثبيت كاملة لـ Windows وحتى بعد استبدال محرك الأقراص الثابتة.
السبب في ذلك انة يقوم بمهاجمة نظام boot system UEFI . تخفي rootkits نفسها في برامج التشغيل أو قطاعات الـ boot ، اعتماداً على الترميز الخاص بها ونية المهاجم. تلتصق الـ LoJax في البرامج الثابتة للنظام وتصيب النظام قبل تثبيت نظام التشغيل.
كيف يعمل LoJax Rootkit؟
يستخدم LoJax نسخة معاد تجميعها من برنامج LoJack لمكافحة السرقة التابع لـ Absolute Software. من المفترض أن تكون الأداة الأصلية ثابتة طوال عملية مسح النظام أو استبدال القرص الصلب حتى يتمكن المرخص له من تتبع جهاز مسروق. وبالتالي يعتبر توغل الأداة في جهاز الكمبيوتر مشروعة إلى حد كبير ، ولا تزال LoJack منتجاً شائعاً ضد السرقة.بالنظر إلى أنه في الولايات المتحدة ، فإن 97 بالمائة من أجهزة الكمبيوتر المحمولة المسروقة لا يتم استردادها مطلقاً ، ولكن المستخدمين العقلاء يحتاجون إلى حماية إضافية لمثل هذا الاستثمار الباهظ.
يستخدم LoJax برنامج تشغيل kernel ، RwDrv.sys ، للوصول إلى إعدادات BIOS / UEFI. يتم تضمين برنامج تشغيل kernel مع RWEverything ، وهي أداة مشروعة تستخدم لقراءة وتحليل إعدادات الكمبيوتر ذات المستوى المنخفض (البتات التي لا يمكنك الوصول إليها عادةً).
هناك ثلاثة أدوات أخرى في عملية عدوىLoJax rootkit:
- الأداة الأولى تعمل على نسخ معلومات حول إعدادات النظام ذات المستوى المنخفض (نسخ من RWEverything) إلى ملف نصي. يتخطى نظام الحماية ضد تحديثات البرامج الثابتة.
- الأداة الثانية "يحفظ صورة من البرنامج الثابت للنظام إلى ملف عن طريق قراءة محتويات ذاكرة فلاش SPI."
- حيث أن ذاكرة فلاشSPI هي التي تستضيف UEFI / BIOS.
- أداة ثالثة تضيف الوحدة الخبيثة إلى صورة البرنامج الثابت ثم تكتبها مرة أخرى إلى ذاكرة فلاش SPI.
إذا أدرك LoJax أن ذاكرة فلاش SPI محمية ، فإنه يستغل نقطة ضعف معروفة (CVE-2014-8273) للوصول إليها ، ثم يستمر ويكتب rootkit إلى الذاكرة.
من أين جاء LoJax؟
ويعتقد فريق البحث ESET أن LoJax هو عمل مجموعة القرصنة الدببة الفاخرة (Fancy Bear )Sednit / Strontium / APT28 الروسية. مجموعة القرصنة هذه مسؤولة عن العديد من الهجمات الكبرى في السنوات الأخيرة.
يستخدم LoJax نفس خوادم الأوامر والتحكم مثل SedUploader - وهو برنامج آخر من البرامج الضارة من طراز Sednit. يحتوي LoJax أيضاً على روابط وآثار أخرى من البرامج الضارة Sednit ، بما في ذلك XAgent (أداة تخفي اخرى) و XTunnel (أداة بروكسي شبكة آمنة).
بالإضافة إلى ذلك ، وجد بحث ESET أن مشغلي البرامج الضارة "استخدموا مكونات مختلفة من البرامج الضارة LoJax لاستهداف عدد قليل من المؤسسات الحكومية في البلقان وكذلك وسط وشرق أوروبا".
LoJax ليس أول UETI Rootkit
من المؤكد أن خبر LoJax جعل عالم الأمن الرقمي يجلس ويأخذ ملاحظاته. ومع ذلك ، فهي ليست أول مجموعة Rootkit من UEFI. كان فريق القرصنة يستخدم يثبت الـ rootfit في UEFI / BIOS في عام 2015 للحفاظ على وكيل نظام التحكم عن بعد على الأنظمة المستهدفة.الاختلاف الرئيسي بين Hacking Team UEFI rootkit و LoJax هو طريقة التوصيل. في ذلك الوقت ، اعتقد الباحثون الأمنيون أن فريق القرصنة يتطلب الوصول الفعلي إلى النظام لتثبيت العدوى على مستوى البرامج الثابتة. بالطبع ، إذا كان شخص ما لديه حق الوصول المباشر إلى جهاز الكمبيوتر الخاص بك ، فيمكنه فعل ما يريد.
هل نظامك في خطر من LoJax؟
تتميز الأنظمة الحديثة التي تعتمد على UEFI بالعديد من المزايا المتميزة على نظيراتها القديمة المستندة إلى BIOS.ثانيًا ، تحتوي UEFI-firmware على بعض ميزات الأمان الإضافية أيضاً. وتجدر الإشارة بوجه خاص إلى Secure Boot ، الذي يسمح فقط للبرامج ذات التوقيع الرقمي الموقّع بتشغيلها.
إذا تم إيقاف تشغيل Secure Boot وواجهت rootkit ، فأنت في مشكلة.
Secure Boot: هو أداة مفيدة بشكل خاص في العصر الحالي من فيروسات الفيدية( Ransomware ) .
Ransomware : نوع من البرامج الضارة المصممة لمنع الوصول إلى نظام الكمبيوتر حتى يتم دفع مبلغ من المال.
NotPetya: قد تشفر كل شيء في النظام المستهدف و إيقاف تشغيل Secure Boot.
LoJax : هو نوع مختلف من rootkit تماما. على عكس التقارير السابقة ، لا يمكن لـ Secure Boot إيقاف LoJax. من المهم للغاية الحفاظ على تحديث البرنامج الثابت الخاص بـ UEFI. هناك بعض الأدوات المتخصصة لمكافحة rootkit أيضًا ، ولكن من غير الواضح ما إذا كان بإمكانهم الحماية من LoJax.
ومع ذلك ، مثل العديد من التهديدات مع هذا المستوى من القدرة ،يعتبر جهاز الكمبيوتر الخاص بك هو هدف رئيسي. تركز البرامج الضارة المتقدمة في الغالب على الأهداف عالية المستوى. لذلك ، هناك مؤشرات لتدخل الدوله في الحد من تهديدات LoJax. وهي فرصة قوية أخرى تجعل LoJax لا يؤثر عليك في المدى القصير.
كما هو الحال دائماً ، يعد الحفاظ على تحديث نظامك من أفضل الطرق لحماية نظامك.
إرسال تعليق