Негізгі ұсыныстар
- Қауіпсіздік зерттеушілері аналық платадағы флэш-жадты зақымдайтын бірегей зиянды бағдарламаны тапты.
- Зиянды бағдарламаны жою қиын, сондықтан зерттеушілер оның компьютерге қалай енетінін әлі түсінбейді.
-
Bootkit зиянды бағдарламасы дами береді, деп ескертеді зерттеушілер.
Компьютерді дезинфекциялау біраз уақытты қажет етеді. Жаңа зиянды бағдарлама тапсырманы одан сайын қиындатады, өйткені қауіпсіздік зерттеушілері оның компьютерге терең енгені сонша, одан құтылу үшін аналық платаны қағуға тура келуі мүмкін.
Оны тапқан Касперскийдің қауіпсіздік сарбаздары MoonBounce деп атаған, зиянды бағдарлама, техникалық түрде жүктеу жинағы деп аталады, қатты дискіден тыс өтіп, компьютердің Бірыңғай кеңейтілетін микробағдарлама интерфейсі (UEFI) жүктеу микробағдарламасына енеді.
«Шабуыл өте күрделі», - деді SafeBreach қауіпсіздік зерттеулерінің директоры Томер Бар Lifewire-ке электрондық пошта арқылы. "Жәбірленуші вирус жұқтырғаннан кейін, бұл өте тұрақты, өйткені қатты диск пішімі де көмектеспейді."
Жаңа қауіп
Bootkit зиянды бағдарламасы сирек кездеседі, бірақ мүлдем жаңа емес, соңғы екі жылда Касперскийдің өзі тағы екі бағдарламаны ашты. Дегенмен, MoonBounce бірегейлігі аналық платада орналасқан флэш-жадыны зақымдап, оны антивирустық бағдарламалық құралға және зиянды бағдарламаларды жоюдың барлық басқа әдеттегі құралдарына қарсы тұруында.
Шын мәнінде, Kaspersky зерттеушілері пайдаланушылар операциялық жүйені қайта орнатып, қатты дискіні ауыстыра алатынын атап өтеді, бірақ жүктеу жинағы пайдаланушылар өздері сипаттайтын вирус жұққан флэш-жадты қайта жарып жібермейінше, вирус жұққан компьютерде қалады. «өте күрделі процесс» ретінде немесе аналық платаны толығымен ауыстырыңыз.
Зиянды бағдарламаны одан да қауіпті ететін нәрсе, - деп Bar қосты, зиянды бағдарлама файлсыз, яғни ол антивирустық бағдарламалар белгілей алатын файлдарға сенбейді және вирус жұққан компьютерде ешқандай із қалдырмайды, бұл оны өте қатты етеді. қадағалау қиын.
Қасперский зерттеушілері зиянды бағдарламаны талдау негізінде MoonBounce көп сатылы шабуылдың алғашқы қадамы екенін атап өтті. MoonBounce артындағы жалған актерлер зиянды бағдарламаны жәбірленушінің компьютеріне тірек орнату үшін пайдаланады, содан кейін олар деректерді ұрлау немесе төлем бағдарламалық құралын орналастыру үшін қосымша қауіптерді қолдану үшін пайдаланылуы мүмкін.
Сақтау мүмкіндігі, зерттеушілер осы уақытқа дейін зиянды бағдарламаның бір ғана данасын тапты. «Алайда, бұл өте күрделі кодтар жиынтығы, егер басқа ештеңе болмаса, ол болашақта басқа, жетілдірілген зиянды бағдарламалардың пайда болу ықтималдығын білдіреді», - деді Тим Хелминг, DomainTools қауіпсіздік евангелисті Lifewire-ке электрондық пошта арқылы.
Терезе Шачнер, VPNBrains киберқауіпсіздік жөніндегі кеңесшісі келіседі. "MoonBounce әсіресе жасырын болғандықтан, MoonBounce шабуылдарының әлі анықталмаған қосымша жағдайлары болуы мүмкін."
Компьютерді егу
Зерттеушілер зиянды бағдарлама зиянкестер басқа белгілі зиянды бағдарлама сияқты бірдей байланыс серверлерін (техникалық жағынан командалық және басқару серверлері ретінде белгілі) пайдалану қателігінен ғана анықталғанын атап өтті.
Алайда, Хельминг бастапқы инфекцияның қалай болатыны белгісіз болғандықтан, инфекцияны жұқтырмау туралы нақты нұсқаулар беру іс жүзінде мүмкін емес екенін айтты. Қауіпсіздіктің жақсы қабылданған тәжірибелерін орындау жақсы бастама.
"Зиянды бағдарламаның өзі ілгерілегенімен, қарапайым пайдаланушы өзін қорғау үшін аулақ болу керек негізгі әрекеттер шынымен өзгерген жоқ. Бағдарламалық құралды, әсіресе қауіпсіздік бағдарламалық құралын жаңарту маңызды. Күдікті сілтемелерді басудан аулақ болу жақсы стратегия болып қала береді ", - деді Тим Эрлин, Tripwire стратегиясы бойынша вице-президенті Lifewire-ге электрондық пошта арқылы ұсыныс жасады.
… MoonBounce шабуылдарының әлі анықталмаған қосымша даналары болуы мүмкін.
Осы ұсынысқа қоса, Checkmarx қауіпсіздік евангелисті Стивен Гейтс Lifewire-ке электрондық пошта арқылы қарапайым жұмыс үстелі пайдаланушысы MoonBounce сияқты файлсыз шабуылдарды болдырмайтын дәстүрлі антивирус құралдарынан шығуы керек екенін айтты.
"Скриптті басқаруды және жадты қорғауды қолдана алатын құралдарды іздеңіз және стектің төменнен жоғары жағына дейін қауіпсіз, заманауи қолданбаларды әзірлеу әдістемелерін қолданатын ұйымдардың қолданбаларын пайдалануға тырысыңыз" деп ұсынды.
Bar, керісінше, жүктеу микробағдарламасының bootkit зиянды бағдарламасына қарсы тиімді азайту әдісі ретінде өзгертілмегенін тексеру үшін SecureBoot және TPM сияқты технологияларды пайдалануды жақтады.
Шахнер осыған ұқсас жолдар бойынша UEFI микробағдарлама жаңартуларын олар шығарылған кезде орнату пайдаланушыларға MoonBounce сияқты жаңа қауіптерден компьютерлерін жақсырақ қорғайтын қауіпсіздік түзетулерін енгізуге көмектесетінін айтты.
Сонымен қатар ол микробағдарлама қаупін анықтауды қамтитын қауіпсіздік платформаларын пайдалануды ұсынды. "Бұл қауіпсіздік шешімдері пайдаланушыларға ықтимал микробағдарлама қатерлері туралы мүмкіндігінше жылдам хабардар етуге мүмкіндік береді, осылайша қауіптер күшеймей тұрып, оларды дер кезінде шешуге болады."
