Key Takeaway
- Penyelidik keselamatan telah menemui perisian hasad unik yang menjangkiti memori denyar pada papan induk.
- Malware adalah sukar untuk dialih keluar dan penyelidik masih belum memahami cara ia masuk ke dalam komputer pada mulanya.
-
Malware bootkit akan terus berkembang, memberi amaran kepada penyelidik.
Membasmi kuman komputer memerlukan beberapa tindakan. Perisian hasad baharu menjadikan tugas itu lebih rumit kerana penyelidik keselamatan mendapati ia membenamkan dirinya begitu dalam ke dalam komputer sehingga anda mungkin perlu membuang papan induk untuk menyingkirkannya.
Dubbed MoonBounce oleh pengawal keselamatan di Kaspersky yang menemuinya, perisian hasad, secara teknikal dipanggil bootkit, melintasi cakera keras dan membenamkan dirinya dalam perisian tegar but Unified Extensible Firmware Interface (UEFI) komputer.
"Serangan itu sangat canggih," Tomer Bar, Pengarah Penyelidikan Keselamatan di SafeBreach, memberitahu Lifewire melalui e-mel. "Apabila mangsa dijangkiti, ia sangat berterusan kerana walaupun format cakera keras tidak akan membantu."
Ancaman Novel
Bootkit malware jarang berlaku, tetapi bukan baharu sepenuhnya, dengan Kaspersky sendiri telah menemui dua yang lain dalam beberapa tahun yang lalu. Walau bagaimanapun, perkara yang menjadikan MoonBounce unik ialah ia menjangkiti memori denyar yang terletak pada papan induk, menjadikannya tahan terhadap perisian antivirus dan semua cara lain yang biasa untuk mengalih keluar perisian hasad.
Malah, penyelidik Kaspersky menyatakan bahawa pengguna boleh memasang semula sistem pengendalian dan menggantikan cakera keras, tetapi bootkit akan terus kekal pada komputer yang dijangkiti sehingga pengguna sama ada memancarkan semula memori denyar yang dijangkiti, yang mereka gambarkan sebagai "proses yang sangat kompleks," atau menggantikan papan induk sepenuhnya.
Apa yang menjadikan perisian hasad lebih berbahaya, tambah Bar, ialah perisian hasad itu tanpa fail, yang bermaksud ia tidak bergantung pada fail yang boleh dibenderakan oleh program antivirus dan tidak meninggalkan jejak yang jelas pada komputer yang dijangkiti, menjadikannya sangat sukar untuk dikesan.
Berdasarkan analisis mereka terhadap perisian hasad, penyelidik Kaspersky menyatakan bahawa MoonBounce ialah langkah pertama dalam serangan berbilang peringkat. Pelakon penyangak di sebalik MoonBounce menggunakan perisian hasad untuk mewujudkan tempat berpijak pada komputer mangsa, yang mereka dapati kemudiannya boleh digunakan untuk menggunakan ancaman tambahan untuk mencuri data atau menggunakan perisian tebusan.
Namun, kebaikan yang menyelamatkan ialah penyelidik hanya menemui satu contoh perisian hasad sehingga kini. "Walau bagaimanapun, ia adalah satu set kod yang sangat canggih, yang membimbangkan; jika tidak ada yang lain, ia menandakan kemungkinan perisian hasad termaju yang lain pada masa hadapan," Tim Helming, penginjil keselamatan dengan DomainTools, memberi amaran kepada Lifewire melalui e-mel.
Therese Schachner, Perunding Keselamatan Siber di VPNBrains bersetuju. "Memandangkan MoonBounce sangat tersembunyi, ada kemungkinan terdapat kejadian tambahan serangan MoonBounce yang masih belum ditemui."
Inokulasi Komputer Anda
Penyelidik ambil perhatian bahawa perisian hasad itu dikesan hanya kerana penyerang membuat kesilapan menggunakan pelayan komunikasi yang sama (secara teknikal dikenali sebagai pelayan arahan dan kawalan) seperti perisian hasad lain yang diketahui.
Walau bagaimanapun, Helming menambah bahawa memandangkan tidak jelas bagaimana jangkitan awal berlaku, hampir mustahil untuk memberikan arahan yang sangat spesifik tentang cara mengelak daripada dijangkiti. Namun, mengikut amalan terbaik keselamatan yang diterima baik adalah permulaan yang baik.
"Walaupun perisian hasad itu sendiri berkembang, gelagat asas yang harus dielakkan oleh pengguna biasa untuk melindungi diri mereka tidak benar-benar berubah. Mengemas kini perisian, terutamanya perisian keselamatan, adalah penting. Mengelakkan mengklik pada pautan yang mencurigakan kekal sebagai strategi yang baik, " Tim Erlin, VP strategi di Tripwire, mencadangkan kepada Lifewire melalui e-mel.
… ada kemungkinan terdapat kejadian tambahan serangan MoonBounce yang masih belum ditemui.
Menambah kepada cadangan itu, Stephen Gates, Penginjil Keselamatan di Checkmarx, memberitahu Lifewire melalui e-mel bahawa pengguna desktop biasa perlu melampaui alatan antivirus tradisional, yang tidak dapat menghalang serangan tanpa fail, seperti MoonBounce.
"Cari alat yang boleh memanfaatkan kawalan skrip dan perlindungan memori, dan cuba gunakan aplikasi daripada organisasi yang menggunakan metodologi pembangunan aplikasi moden yang selamat, dari bahagian bawah timbunan ke bahagian atas," saran Gates.
Bar, sebaliknya, menyokong penggunaan teknologi, seperti SecureBoot dan TPM, untuk mengesahkan bahawa perisian tegar but tidak diubah suai sebagai teknik pengurangan yang berkesan terhadap perisian hasad bootkit.
Schachner, pada talian yang sama, mencadangkan agar memasang kemas kini perisian tegar UEFI semasa ia dikeluarkan akan membantu pengguna menyepadukan pembetulan keselamatan yang melindungi komputer mereka dengan lebih baik daripada ancaman yang muncul seperti MoonBounce.
Selain itu, dia juga mengesyorkan menggunakan platform keselamatan yang menggabungkan pengesanan ancaman perisian tegar. "Penyelesaian keselamatan ini membolehkan pengguna dimaklumkan tentang potensi ancaman perisian tegar secepat mungkin supaya ia boleh ditangani tepat pada masanya sebelum ancaman meningkat."