موارد مهم
- محققان امنیتی یک بدافزار منحصر به فرد را کشف کرده اند که حافظه فلش مادربرد را آلوده می کند.
- حذف بدافزار دشوار است و محققان هنوز نمی دانند که چگونه آن را در ابتدا وارد رایانه می کند.
-
بدافزار Bootkit به تکامل خود ادامه خواهد داد.
به محققان هشدار میدهند
ضد عفونی کردن رایانه نیاز به انجام کارهایی دارد که هست. بدافزار جدید این کار را حتی سختتر میکند زیرا محققان امنیتی دریافتهاند که این بدافزار خود را به قدری عمیق در رایانه جاسازی میکند که احتمالاً برای خلاص شدن از شر آن باید مادربرد را زیر پا بگذارید.
دوبله MoonBounce توسط کارمندان امنیتی کسپرسکی که آن را کشف کردند، این بدافزار، که از نظر فنی بوت کیت نامیده می شود، از هارد دیسک عبور می کند و خود را در میان افزار بوت سیستم عامل توسعه پذیر یکپارچه (UEFI) کامپیوتر حفر می کند..
تومر بار، مدیر تحقیقات امنیتی SafeBreach به Lifewire از طریق ایمیل گفت: حمله بسیار پیچیده است. هنگامی که قربانی آلوده می شود، بسیار پایدار است زیرا حتی فرمت هارد دیسک کمکی نمی کند.»
تهدید بدیع
بدافزار Bootkit نادر است، اما کاملاً جدید نیست، به طوری که خود کسپرسکی در چند سال گذشته دو مورد دیگر را کشف کرده است. با این حال، چیزی که MoonBounce را منحصربهفرد میکند این است که فلش مموری واقع بر روی مادربرد را آلوده میکند و آن را در برابر نرمافزار آنتیویروس و سایر ابزارهای معمول برای حذف بدافزار غیرقابل نفوذ میکند.
در واقع، محققان کسپرسکی خاطرنشان می کنند که کاربران می توانند سیستم عامل را دوباره نصب کنند و هارد دیسک را جایگزین کنند، اما بوت کیت روی رایانه آلوده باقی می ماند تا زمانی که کاربران فلش مموری آلوده را که آنها توضیح می دهند دوباره فلش کنند. به عنوان یک فرآیند بسیار پیچیده، یا مادربرد را به طور کامل جایگزین کنید.
چیزی که این بدافزار را حتی خطرناکتر میکند این است که بدافزار بدون فایل است، به این معنی که به فایلهایی که برنامههای آنتیویروس میتوانند پرچمگذاری کنند متکی نیست و هیچ ردپای آشکاری بر روی رایانه آلوده باقی نمیگذارد، و این باعث میشود که این بدافزار بسیار خطرناک باشد. ردیابی دشوار است.
بر اساس تجزیه و تحلیل خود از بدافزار، محققان کسپرسکی خاطرنشان کردند که MoonBounce اولین گام در یک حمله چند مرحله ای است. بازیگران سرکش پشت MoonBounce از این بدافزار برای ایجاد جای پایی در رایانه قربانی استفاده میکنند، که پس از آن میتوان از آن برای استقرار تهدیدهای اضافی برای سرقت دادهها یا استقرار باجافزار استفاده کرد.
مهم این است که محققان تاکنون تنها یک نمونه از بدافزار را یافته اند. تیم هلمینگ، مبشر امنیتی DomainTools، به Lifewire از طریق ایمیل هشدار داد: "با این حال، این مجموعه ای بسیار پیچیده از کد است که نگران کننده است؛ اگر هیچ چیز دیگری، احتمال وجود بدافزارهای پیشرفته دیگر در آینده را اعلام می کند."
Therese Schachner، مشاور امنیت سایبری در VPNBrains موافقت کرد. "از آنجایی که MoonBounce به ویژه مخفیانه است، ممکن است موارد دیگری از حملات MoonBounce وجود داشته باشد که هنوز کشف نشده اند."
کامپیوتر خود را تلقیح کنید
محققان خاطرنشان می کنند که این بدافزار تنها به این دلیل شناسایی شده است که مهاجمان اشتباه کرده اند از همان سرورهای ارتباطی (از نظر فنی به عنوان سرورهای فرمان و کنترل شناخته می شوند) به عنوان یک بدافزار شناخته شده دیگر.
با این حال، هلمینگ اضافه کرد که از آنجایی که مشخص نیست عفونت اولیه چگونه رخ می دهد، ارائه دستورالعمل های بسیار خاص در مورد چگونگی جلوگیری از آلوده شدن عملا غیرممکن است. با این حال، پیروی از بهترین شیوه های امنیتی پذیرفته شده، شروع خوبی است.
در حالی که خود بدافزار پیشرفت می کند، رفتارهای اساسی که یک کاربر معمولی برای محافظت از خود باید از آنها اجتناب کند، واقعاً تغییر نکرده است. به روز نگه داشتن نرم افزار، به ویژه نرم افزارهای امنیتی، مهم است.تیم ارلین، معاون استراتژی در Tripwire، از طریق ایمیل به Lifewire پیشنهاد کرد: اجتناب از کلیک روی پیوندهای مشکوک یک استراتژی خوب است.
… ممکن است موارد دیگری از حملات MoonBounce وجود داشته باشد که هنوز کشف نشده اند.
اضافه کردن به این پیشنهاد، استفان گیتس، مبشر امنیتی در Checkmarx، از طریق ایمیل به Lifewire گفت که کاربران معمولی دسکتاپ باید از ابزارهای آنتی ویروس سنتی فراتر بروند، که نمی توانند از حملات بدون فایل مانند MoonBounce جلوگیری کنند.
گیتس پیشنهاد کرد "ابزارهایی را جستجو کنید که می توانند از کنترل اسکریپت و محافظت از حافظه استفاده کنند، و سعی کنید از برنامه های سازمان هایی استفاده کنید که از روش های توسعه ایمن و مدرن برنامه های کاربردی استفاده می کنند، از پایین تا بالا".
از سوی دیگر، Bar از استفاده از فناوریهایی مانند SecureBoot و TPM برای تأیید اینکه سفتافزار راهاندازی بهعنوان یک تکنیک کاهش موثر در برابر بدافزارهای bootkit اصلاح نشده است، حمایت کرد.
Schachner، در خطوط مشابه، پیشنهاد کرد که نصب بهروزرسانیهای سفتافزار UEFI در حین انتشار به کاربران کمک میکند تا راهحلهای امنیتی را وارد کنند که بهتر از رایانهشان در برابر تهدیدات نوظهور مانند MoonBounce محافظت میکند.
علاوه بر این، او همچنین استفاده از پلتفرمهای امنیتی را توصیه کرد که شناسایی تهدید سیستمافزار را در خود جای دادهاند. "این راه حل های امنیتی به کاربران اجازه می دهد تا در اسرع وقت از تهدیدات بالقوه سیستم عامل مطلع شوند تا قبل از تشدید تهدیدها به موقع به آنها رسیدگی شود."
