מזונות חשובים
- חוקרי אבטחה גילו תוכנה זדונית ייחודית שמדביקה את זיכרון הפלאש בלוח האם.
- קשה להסיר את התוכנה הזדונית, והחוקרים עדיין לא מבינים איך היא נכנסת למחשב מלכתחילה.
-
תוכנה זדונית של Bootkit תמשיך להתפתח, מזהירים חוקרים.
חיטוי מחשב מצריך ביצוע כפי שהוא. תוכנה זדונית חדשה הופכת את המשימה למסורבלת עוד יותר מאחר שחוקרי אבטחה גילו שהיא מטביעה את עצמה כל כך עמוק במחשב, שכנראה תצטרכו לזרוק את לוח האם כדי להיפטר ממנה.
מדובב MoonBounce על ידי חוקרי האבטחה בקספרסקי שגילו את זה, התוכנה הזדונית, שנקראת טכנית Bootkit, עוברת מעבר לדיסק הקשיח וחופרת את עצמה בקושחת האתחול של ממשק הקושחה המאוחד (UEFI) של המחשב.
"המתקפה מאוד מתוחכמת", אמר תומר בר, מנהל מחקר אבטחה ב-SafeBreach, ל-Lifewire באימייל. "ברגע שהקורבן נדבק, זה מאוד מתמשך מכיוון שאפילו פורמט של כונן קשיח לא יעזור."
איום רומן
תוכנות זדוניות של Bootkit הן נדירות, אך לא חדשות לחלוטין, כאשר קספרסקי עצמה גילתה שניים אחרים בשנתיים האחרונות. עם זאת, מה שמייחד את MoonBounce הוא שהוא מדביק את זיכרון ההבזק שנמצא על לוח האם, מה שהופך אותו לחסום לתוכנת אנטי וירוס ולכל שאר האמצעים הרגילים להסרת תוכנות זדוניות.
למעשה, חוקרי קספרסקי מציינים שמשתמשים יכולים להתקין מחדש את מערכת ההפעלה ולהחליף את הכונן הקשיח, אך ערכת האתחול תמשיך להישאר במחשב הנגוע עד שהמשתמשים יבזק מחדש את זיכרון הפלאש הנגוע, אותו הם מתארים בתור "תהליך מורכב מאוד", או להחליף את לוח האם לחלוטין.
מה שהופך את התוכנה הזדונית למסוכנת אפילו יותר, הוסיף בר, שהתוכנה הזדונית היא חסרת קבצים, מה שאומר שהיא לא מסתמכת על קבצים שתוכנות אנטי-וירוס יכולות לסמן ואינה מותירה טביעת רגל נראית לעין על המחשב הנגוע, מה שהופך אותו מאוד קשה לעקוב.
בהתבסס על הניתוח שלהם של התוכנה הזדונית, חוקרי קספרסקי מציינים ש-MoonBounce הוא הצעד הראשון במתקפה רב-שלבית. השחקנים הנוכלים שמאחורי MoonBounce משתמשים בתוכנה הזדונית כדי לבסס דריסת רגל לתוך המחשב של הקורבן, שאותו הם מבינים שניתן להשתמש בו כדי לפרוס איומים נוספים כדי לגנוב נתונים או לפרוס תוכנות כופר.
עם זאת, החסד המציל הוא שהחוקרים מצאו רק מופע אחד של התוכנה הזדונית עד כה. "עם זאת, זו מערכת קוד מתוחכמת מאוד, שמדאיגה; אם לא אחרת, היא מבשרת על הסבירות של תוכנות זדוניות אחרות, מתקדמת בעתיד", הזהיר טים הלמינג, אוונגליסט אבטחה עם DomainTools, את Lifewire בדוא"ל.
תרז שכנר, יועצת אבטחת סייבר ב-VPNBrains הסכימה. "מכיוון ש-MoonBounce חמקנית במיוחד, ייתכן שיש מקרים נוספים של התקפות MoonBounce שעדיין לא התגלו."
חסן את המחשב שלך
החוקרים מציינים שהתוכנה הזדונית זוהתה רק בגלל שהתוקפים עשו את הטעות של שימוש באותם שרתי תקשורת (הידועים מבחינה טכנית בתור שרתי השליטה והבקרה) כמו תוכנה זדונית מוכרת אחרת.
עם זאת, הלמינג הוסיף כי מכיוון שלא ברור כיצד מתרחש ההדבקה הראשונית, כמעט בלתי אפשרי לתת הנחיות ספציפיות כיצד להימנע מהידבקות. עם זאת, הקפדה על שיטות האבטחה המומלצות היא התחלה טובה.
"בעוד שהתוכנה עצמה מתקדמת, ההתנהגויות הבסיסיות שהמשתמש הממוצע צריך להימנע מהן כדי להגן על עצמו לא ממש השתנו. שמירה על עדכניות של תוכנות, במיוחד תוכנות אבטחה, היא חשובה.הימנעות מלחיצה על קישורים חשודים נותרה אסטרטגיה טובה", הציע טים ארלין, סמנכ"ל האסטרטגיה ב-Tripwire, ל-Lifewire בדוא"ל.
… ייתכן שיש מקרים נוספים של התקפות MoonBounce שעדיין לא התגלו.
בנוסף להצעה הזו, סטיבן גייטס, אוונגליסט אבטחה בצ'קמארקס, אמר ל-Lifewire בדוא ל שמשתמש שולחן העבודה הממוצע צריך לחרוג מכלי אנטי-וירוס מסורתיים, שאינם יכולים למנוע התקפות ללא קבצים, כגון MoonBounce.
"חפש כלים שיכולים למנף בקרת סקריפט והגנה על זיכרון, ונסה להשתמש ביישומים מארגונים שמשתמשים במתודולוגיות מאובטחות ומודרניות של פיתוח יישומים, מהחלק התחתון של הערימה ועד למעלה", הציע גייטס.
Bar, לעומת זאת, דגל בשימוש בטכנולוגיות, כגון SecureBoot ו-TPM, כדי לוודא שקושחת האתחול לא שונתה כטכניקת הפחתה יעילה נגד תוכנות זדוניות של Bootkit.
שכנר, בקווים דומים, הציע שהתקנת עדכוני קושחה של UEFI עם שחרורם תעזור למשתמשים לשלב תיקוני אבטחה שמגנים טוב יותר על המחשבים שלהם מפני איומים מתעוררים כגון MoonBounce.
יתר על כן, היא גם המליצה להשתמש בפלטפורמות אבטחה המשלבות זיהוי איומי קושחה. "פתרונות האבטחה הללו מאפשרים למשתמשים לקבל מידע על איומי קושחה פוטנציאליים בהקדם האפשרי, כך שניתן יהיה לטפל בהם בזמן לפני שהאיומים יסלימו."
