Mga Key Takeaway
- Natuklasan ng mga mananaliksik sa seguridad ang isang natatanging malware na nakahahawa sa flash memory sa motherboard.
- Mahirap alisin ang malware, at hindi pa naiintindihan ng mga mananaliksik kung paano ito napupunta sa computer sa simula pa lang.
-
Bootkit malware ay patuloy na uunlad, babala sa mga mananaliksik.
Ang pagdidisimpekta sa isang computer ay nangangailangan ng ilang ginagawa. Ang isang bagong malware ay nagpapahirap sa gawain dahil natuklasan ng mga mananaliksik sa seguridad na naka-embed ito nang napakalalim sa computer na malamang na kailangan mong i-chuck ang motherboard upang maalis ito.
Dubbed MoonBounce ng mga security sleuth sa Kaspersky na nakatuklas nito, ang malware, na teknikal na tinatawag na bootkit, ay bumabagtas sa kabila ng hard disk at ibinaon ang sarili sa Unified Extensible Firmware Interface (UEFI) boot firmware ng computer.
"Napaka-sopistikado ng pag-atake," sabi ni Tomer Bar, Direktor ng Security Research sa SafeBreach, sa Lifewire sa pamamagitan ng email. "Kapag ang biktima ay nahawahan, ito ay napaka-persistent dahil kahit isang format ng hard drive ay hindi makakatulong."
Banta sa Nobela
Ang Bootkit malware ay bihira, ngunit hindi ganap na bago, na ang Kaspersky mismo ay nakatuklas ng dalawa pang iba sa nakalipas na ilang taon. Gayunpaman, kung bakit natatangi ang MoonBounce ay naaapektuhan nito ang flash memory na matatagpuan sa motherboard, na ginagawa itong hindi tinatablan ng antivirus software at lahat ng iba pang karaniwang paraan ng pag-alis ng malware.
Sa katunayan, napansin ng mga mananaliksik ng Kaspersky na maaaring muling i-install ng mga user ang operating system at palitan ang hard drive, ngunit ang bootkit ay patuloy na mananatili sa infected na computer hanggang ang mga user ay maaaring muling mag-flash ng infected na flash memory, na kanilang inilalarawan. bilang "isang napakakomplikadong proseso," o ganap na palitan ang motherboard.
Ang mas lalong nagpapa-delikado sa malware, idinagdag ni Bar, na ang malware ay walang file, na nangangahulugang hindi ito umaasa sa mga file na maaaring i-flag ng mga antivirus program at hindi nag-iiwan ng malinaw na bakas ng paa sa nahawaang computer, na ginagawa itong napaka mahirap ma-trace.
Batay sa kanilang pagsusuri sa malware, napansin ng mga mananaliksik ng Kaspersky na ang MoonBounce ang unang hakbang sa isang multi-stage na pag-atake. Ginagamit ng mga buhong na aktor sa likod ng MoonBounce ang malware para magkaroon ng foothold sa computer ng biktima, na sa tingin nila ay magagamit para mag-deploy ng mga karagdagang banta para magnakaw ng data o mag-deploy ng ransomware.
Ang nakakapagtipid, gayunpaman, ay ang mga mananaliksik ay nakahanap lamang ng isang halimbawa ng malware hanggang ngayon. "Gayunpaman, ito ay isang napaka-sopistikadong hanay ng code, na may kinalaman; kung wala pa, ito ay nagbabadya ng posibilidad ng iba, advanced na malware sa hinaharap," binalaan ni Tim Helming, security evangelist na may DomainTools, ang Lifewire sa pamamagitan ng email.
Therese Schachner, Cyber Security Consultant sa VPNBrains ay sumang-ayon. "Dahil ang MoonBounce ay partikular na palihim, posibleng may mga karagdagang pagkakataon ng pag-atake ng MoonBounce na hindi pa natutuklasan."
I-inoculate ang Iyong Computer
Natatandaan ng mga mananaliksik na natukoy lamang ang malware dahil nagkamali ang mga umaatake sa paggamit ng parehong mga server ng komunikasyon (teknikal na kilala bilang mga command at control server) bilang isa pang kilalang malware.
Gayunpaman, idinagdag ni Helming na dahil hindi malinaw kung paano naganap ang paunang impeksyon, halos imposibleng magbigay ng napakaspesipikong direksyon kung paano maiiwasang mahawa. Gayunpaman, ang pagsunod sa mga tinatanggap na pinakamahusay na kagawian sa seguridad ay isang magandang simula.
"Habang ang malware mismo ay sumusulong, ang mga pangunahing gawi na dapat iwasan ng karaniwang user upang maprotektahan ang kanilang sarili ay hindi talaga nagbabago. Ang pagpapanatiling napapanahon ang software, lalo na ang software ng seguridad, ay mahalaga. Nananatiling magandang diskarte ang pag-iwas sa pag-click sa mga kahina-hinalang link, " iminungkahi ni Tim Erlin, VP ng diskarte sa Tripwire, sa Lifewire sa pamamagitan ng email.
… posibleng may mga karagdagang pagkakataon ng pag-atake sa MoonBounce na hindi pa nadidiskubre.
Idinagdag sa mungkahing iyon, sinabi ni Stephen Gates, Security Evangelist sa Checkmarx, sa Lifewire sa pamamagitan ng email na ang karaniwang gumagamit ng desktop ay kailangang lumampas sa mga tradisyunal na antivirus tool, na hindi mapipigilan ang mga walang file na pag-atake, gaya ng MoonBounce.
"Maghanap ng mga tool na maaaring gumamit ng kontrol sa script at proteksyon ng memorya, at subukang gumamit ng mga application mula sa mga organisasyong gumagamit ng secure at modernong mga pamamaraan sa pag-develop ng application, mula sa ibaba ng stack hanggang sa itaas, " iminungkahi ni Gates.
Bar, sa kabilang banda, ay nagtaguyod ng paggamit ng mga teknolohiya, gaya ng SecureBoot at TPM, upang i-verify na ang boot firmware ay hindi pa nabago bilang isang epektibong pamamaraan sa pagpapagaan laban sa bootkit malware.
Schachner, sa mga katulad na linya, ay nagmungkahi na ang pag-install ng mga update sa firmware ng UEFI habang inilabas ang mga ito ay makakatulong sa mga user na isama ang mga pag-aayos sa seguridad na mas mahusay na nagpoprotekta sa kanilang mga computer laban sa mga umuusbong na banta gaya ng MoonBounce.
Higit pa rito, inirerekomenda rin niya ang paggamit ng mga platform ng seguridad na may kasamang pagtukoy sa pagbabanta ng firmware. "Ang mga solusyon sa seguridad na ito ay nagbibigay-daan sa mga user na ipaalam sa mga potensyal na banta ng firmware sa lalong madaling panahon upang matugunan ang mga ito sa isang napapanahong paraan bago lumaki ang mga banta."
