रूसी हैकर्स द्वारा विकसित "LoJax" UEFI रूटकिट क्या है?
विज्ञापन
रूटकिट एक विशेष रूप से बुरा प्रकार का मैलवेयर है। जब आप ऑपरेटिंग सिस्टम में प्रवेश करते हैं तो एक "नियमित" मैलवेयर संक्रमण लोड होता है। यह अभी भी एक खराब स्थिति है, लेकिन एक सभ्य एंटीवायरस को मैलवेयर को हटा देना चाहिए और आपके सिस्टम को साफ करना चाहिए।
इसके विपरीत, एक रूटकिट आपके सिस्टम फर्मवेयर में स्थापित होता है और आपके सिस्टम को रिबूट करने पर हर बार दुर्भावनापूर्ण पेलोड की स्थापना के लिए अनुमति देता है।
सुरक्षा शोधकर्ताओं ने जंगल में एक नए रूटकिट संस्करण को देखा है, जिसका नाम LoJax है। इस रूटकिट को दूसरों से अलग क्या कहते हैं? खैर, यह पुराने UEFI आधारित प्रणालियों के बजाय आधुनिक UEFI आधारित प्रणालियों को संक्रमित कर सकता है। और वह एक समस्या है।
लोजैक्स यूईएफआई रूटकिट
ईएसईटी रिसर्च ने एक शोध पत्र प्रकाशित किया, जिसमें एक नए खोज किए गए रूटकिट (जो एक रूटकिट है?) का विवरण है, जो सफलतापूर्वक उसी नाम के एक वाणिज्यिक सॉफ्टवेयर का पुन: प्रयोजन करता है। (हालांकि अनुसंधान टीम ने मैलवेयर "LoJax" का नाम दिया, वास्तविक सॉफ्टवेयर को "LoJack" नाम दिया गया है।
खतरे में जोड़कर, LoJax एक पूर्ण विंडोज फिर से स्थापना और हार्ड ड्राइव के प्रतिस्थापन से भी बच सकता है।
UEFI फर्मवेयर बूट सिस्टम पर हमला करने से मैलवेयर जीवित रहता है। अन्य रूटकिट ड्राइवर या बूट सेक्टर में छिपा हो सकता है बूटकिट क्या है, और क्या नेमसिस एक वास्तविक खतरा है? बूटकिट क्या है, और क्या नेमसिस एक वास्तविक खतरा है? हैकर आपके सिस्टम को बाधित करने के तरीके ढूंढना जारी रखते हैं, जैसे कि बूटकिट। आइए देखें कि बूटकिट क्या है, नेमसिस वेरिएंट कैसे काम करता है, और इस बात पर विचार करें कि आप स्पष्ट रहने के लिए क्या कर सकते हैं। आगे पढ़ें, उनकी कोडिंग और हमलावर के इरादे पर निर्भर करता है। LoJax सिस्टम फर्मवेयर में हुक करता है और ओएस को लोड करने से पहले सिस्टम को फिर से संक्रमित करता है।
अभी तक, LoJax मैलवेयर को पूरी तरह से हटाने के लिए एकमात्र ज्ञात विधि संदिग्ध सिस्टम पर नए फर्मवेयर को फ्लैश कर रही है। विंडोज में अपने यूईएफआई BIOS को कैसे अपडेट करें विंडोज में अपने यूईएफआई BIOS को कैसे अपडेट किया जाए अधिकांश पीसी उपयोगकर्ता कभी भी अपने BIOS को अपडेट किए बिना जाते हैं। यदि आप निरंतर स्थिरता की परवाह करते हैं, हालांकि, आपको समय-समय पर जांच करनी चाहिए कि क्या अपडेट उपलब्ध है। हम आपको दिखाते हैं कि अपने UEFI BIOS को सुरक्षित रूप से कैसे अपडेट किया जाए। अधिक पढ़ें । एक फर्मवेयर फ्लैश कुछ ऐसा नहीं है जो अधिकांश उपयोगकर्ताओं के पास अनुभव है। अतीत की तुलना में आसान होते हुए, अभी भी एक महत्वपूर्ण है कि फर्मवेयर चमकती गलत हो जाएगी, संभावित रूप से मशीन को सवाल में ईंट करना।
LoJax Rootkit कैसे काम करता है?
LoJax Absolute Software के LoJack एंटी-थेफ्ट सॉफ़्टवेयर का रीपैकेज किया गया संस्करण उपयोग करता है। मूल उपकरण एक सिस्टम वाइप या हार्ड ड्राइव रिप्लेसमेंट में लगातार रहने के लिए होता है ताकि लाइसेंसधारी एक चोरी किए गए डिवाइस को ट्रैक कर सके। उपकरण के कंप्यूटर में इतना गहरा डूबने के कारण काफी वैध हैं, और LoJack अभी भी इन सटीक गुणों के लिए एक लोकप्रिय विरोधी चोरी उत्पाद है।
यह देखते हुए कि, अमेरिका में 97 प्रतिशत चोरी के लैपटॉप कभी बरामद नहीं होते हैं, यह समझ में आता है कि उपयोगकर्ता इतने महंगे निवेश के लिए अतिरिक्त सुरक्षा चाहते हैं।
BIOS / UEFI सेटिंग्स तक पहुँचने के लिए LoJax एक कर्नेल ड्राइवर, RwDrv.sys का उपयोग करता है। कर्नेल ड्राइवर को RWEverything के साथ बंडल किया जाता है, जो निम्न-स्तरीय कंप्यूटर सेटिंग्स को पढ़ने और उनका विश्लेषण करने के लिए उपयोग किया जाने वाला एक वैध उपकरण है (बिट्स जो आपके पास आमतौर पर एक्सेस नहीं होता है)। LoJax rootkit संक्रमण प्रक्रिया में तीन अन्य उपकरण थे:
- पहला टूल निम्न-स्तरीय सिस्टम सेटिंग्स (RWEverything से कॉपी की गई) के बारे में जानकारी को एक पाठ फ़ाइल में डंप करता है। दुर्भावनापूर्ण फर्मवेयर अपडेट के खिलाफ सिस्टम सुरक्षा को दरकिनार करने के लिए सिस्टम के ज्ञान की आवश्यकता होती है।
- दूसरा उपकरण "SPI फ्लैश मेमोरी की सामग्री को पढ़कर फाइल के लिए सिस्टम फर्मवेयर की एक छवि को बचाता है।" SPI फ्लैश मेमोरी UEFI / BIOS होस्ट करता है।
- एक तीसरा उपकरण फर्मवेयर छवि में दुर्भावनापूर्ण मॉड्यूल जोड़ता है फिर इसे SPI फ्लैश मेमोरी में वापस लिखता है।
यदि LoJax को पता चलता है कि SPI फ्लैश मेमोरी संरक्षित है, तो इसे एक्सेस करने के लिए एक ज्ञात भेद्यता (CVE-2014-8273) का उपयोग करता है, फिर जारी रहता है और मेमोरी को रूटकिट लिखता है।
कहाँ से आया LoJax?
ESET रिसर्च टीम का मानना है कि LoJax कुख्यात फैंसी भालू / सेडनीट / स्ट्रोंटियम / APT28 रूसी हैकिंग समूह का काम है। हैकिंग समूह हाल के वर्षों में कई बड़े हमलों के लिए जिम्मेदार है।
LoJax एक ही कमांड और कंट्रोल सर्वरों का उपयोग SedUploader- एक और सेडनिट बैकडोर मालवेयर के रूप में करता है। LoJax में XAgent (एक अन्य बैकडोर टूल), और XTunnel (एक सुरक्षित नेटवर्क प्रॉक्सी टूल) सहित अन्य सेडनिट मैलवेयर के लिंक और निशान भी हैं।
इसके अतिरिक्त, ईएसईटी के शोध में पाया गया कि मैलवेयर ऑपरेटर "बाल्कन के साथ-साथ मध्य और पूर्वी यूरोप में कुछ सरकारी संगठनों को लक्षित करने के लिए LoJax मैलवेयर के विभिन्न घटकों का उपयोग करते हैं।"
LoJax पहले UEFI रूटकिट नहीं है
LoJax की खबर से निश्चित रूप से सुरक्षा दुनिया को बैठने और नोट लेने का कारण बना। हालाँकि, यह पहला UEFI रूटकिट नहीं है। हैकिंग टीम (एक दुर्भावनापूर्ण समूह, जिस स्थिति में आप सोच रहे थे) 2015 में एक यूईएफआई / BIOS रूटकिट का उपयोग कर रहा था ताकि लक्ष्य प्रणालियों पर रिमोट-कंट्रोल सिस्टम एजेंट स्थापित किया जा सके।
हैकिंग टीम यूईएफआई रूटकिट और लोजैक्स के बीच प्रमुख अंतर डिलीवरी की विधि है। उस समय, सुरक्षा शोधकर्ताओं ने सोचा कि हैकिंग टीम को फर्मवेयर-स्तर के संक्रमण को स्थापित करने के लिए एक सिस्टम तक भौतिक पहुंच की आवश्यकता है। बेशक, अगर किसी के पास आपके कंप्यूटर की सीधी पहुंच है, तो वे वही कर सकते हैं जो वे चाहते हैं। फिर भी, यूईएफआई रूटकिट विशेष रूप से बुरा है।
क्या आपका सिस्टम LoJax से खतरे में है?
आधुनिक यूईएफआई-आधारित प्रणालियों के अपने पुराने BIOS-आधारित समकक्षों पर कई अलग-अलग फायदे हैं।
एक के लिए, वे नए हैं। नया हार्डवेयर सभी नहीं है और सभी को समाप्त करता है, लेकिन यह कई कंप्यूटिंग कार्यों को आसान बनाता है।
दूसरे, यूईएफआई-फर्मवेयर में कुछ अतिरिक्त सुरक्षा विशेषताएं भी हैं। विशेष रूप से नोट सुरक्षित बूट है, जो केवल एक हस्ताक्षरित डिजिटल हस्ताक्षर के साथ कार्यक्रमों को चलाने की अनुमति देता है।
यदि इसे बंद कर दिया जाता है और आपका रूटकिट से सामना हो जाता है, तो आपका बुरा समय आने वाला है। रैंसमवेयर के वर्तमान युग में सिक्योर बूट एक विशेष रूप से उपयोगी उपकरण है। अत्यंत खतरनाक NotPetya रैंसमवेयर से निपटने वाले सुरक्षित बूट के निम्नलिखित वीडियो देखें:
NotPetya ने लक्ष्य प्रणाली पर सब कुछ एन्क्रिप्ट किया होगा जिसमें सिक्योर बूट बंद कर दिया गया था।
LoJax पूरी तरह से एक अलग तरह का जानवर है। पहले की रिपोर्टों के विपरीत, यहां तक कि सुरक्षित बूट भी LoJax को रोक नहीं सकता है । अपने यूईएफआई फर्मवेयर को अद्यतित रखना बेहद महत्वपूर्ण है। कुछ विशेष एंटी-रूटिट टूल हैं पूर्ण मैलवेयर हटाने गाइड पूर्ण मैलवेयर हटाने गाइड मैलवेयर इन दिनों हर जगह है, और आपके सिस्टम से मैलवेयर का उन्मूलन एक लंबी प्रक्रिया है, जिसके लिए मार्गदर्शन की आवश्यकता होती है। यदि आपको लगता है कि आपका कंप्यूटर संक्रमित है, तो यह वह मार्गदर्शक है जिसकी आपको आवश्यकता है। अधिक पढ़ें, भी, लेकिन यह स्पष्ट नहीं है कि क्या वे LoJax के खिलाफ की रक्षा कर सकते हैं।
हालांकि, क्षमता के इस स्तर के साथ कई खतरे की तरह, आपका कंप्यूटर एक प्रमुख लक्ष्य है। उन्नत मैलवेयर मुख्य रूप से उच्च-स्तरीय लक्ष्यों पर केंद्रित होता है। इसके अलावा, LoJax में राष्ट्र-राज्य खतरे के अभिनेता की भागीदारी के संकेत हैं; एक और मजबूत मौका LoJax आपको अल्पावधि में प्रभावित नहीं करेगा। कहा कि, मैलवेयर का दुनिया में फ़िल्टरिंग का एक तरीका है। यदि साइबर क्रिमिनल LoJax के सफल उपयोग को स्पॉट करते हैं, तो यह नियमित मैलवेयर के हमलों में अधिक सामान्य हो सकता है।
हमेशा की तरह, अपने सिस्टम को अद्यतित रखना आपके सिस्टम की सुरक्षा के सर्वोत्तम तरीकों में से एक है। एक मालवेयरबाइट प्रीमियम सदस्यता भी एक बड़ी मदद है। मालवेयरबाइट्स प्रीमियम में अपग्रेड करने के लिए 5 कारण: जी हां, यह सबसे खराब है। मालवेयरबाइट्स प्रीमियम में अपग्रेड करने के लिए 5 कारण: जी हां, यह बहुत बुरा है जबकि मालवेयरबाइट्स का फ्री वर्जन कमाल का है, प्रीमियम वर्जन में उपयोगी और सार्थक फीचर्स का एक समूह है। अधिक पढ़ें
इसके बारे में अधिक जानें: मालवेयर, रूटकिट, यूईएफआई।
