Bài học rút ra chính
- Các nhà nghiên cứu bảo mật đã phát hiện ra một phần mềm độc hại độc đáo lây nhiễm vào bộ nhớ flash trên bo mạch chủ.
- Phần mềm độc hại rất khó loại bỏ và các nhà nghiên cứu vẫn chưa hiểu cách nó xâm nhập vào máy tính ngay từ đầu.
-
Phần mềm độc hại trong Bootkit sẽ tiếp tục phát triển, cảnh báo các nhà nghiên cứu.
Khử trùng máy tính cần một số công việc như nó vốn có. Một phần mềm độc hại mới làm cho nhiệm vụ trở nên cồng kềnh hơn vì các nhà nghiên cứu bảo mật đã phát hiện ra nó tự nhúng sâu vào máy tính đến mức bạn có thể phải bẻ khóa bo mạch chủ để loại bỏ nó.
Được các nhân viên bảo mật tại Kaspersky mệnh danh là MoonBounce, người đã phát hiện ra nó, phần mềm độc hại, về mặt kỹ thuật được gọi là bộ khởi động, đi qua đĩa cứng và tự đào sâu trong chương trình cơ sở khởi động Unified Extensible Firmware Interface (UEFI) của máy tính.
"Cuộc tấn công rất tinh vi", Tomer Bar, Giám đốc Nghiên cứu Bảo mật tại SafeBreach, nói với Lifewire qua email. "Một khi nạn nhân bị nhiễm, nó sẽ rất dai dẳng vì ngay cả định dạng ổ cứng cũng không giúp được gì."
Mối đe dọa tiểu thuyết
Phần mềm độc hại Bootkit rất hiếm, nhưng không hoàn toàn mới, với việc chính Kaspersky đã phát hiện ra hai phần mềm khác trong vài năm qua. Tuy nhiên, điều làm cho MoonBounce trở nên độc đáo là nó lây nhiễm vào bộ nhớ flash nằm trên bo mạch chủ, khiến nó không thể xâm nhập vào phần mềm chống vi-rút và tất cả các phương tiện loại bỏ phần mềm độc hại thông thường khác.
Trên thực tế, các nhà nghiên cứu của Kaspersky lưu ý rằng người dùng có thể cài đặt lại hệ điều hành và thay thế ổ cứng, nhưng bộ khởi động sẽ tiếp tục ở trên máy tính bị nhiễm cho đến khi người dùng flash lại bộ nhớ flash bị nhiễm. là "một quá trình rất phức tạp" hoặc thay thế hoàn toàn bo mạch chủ.
Điều khiến phần mềm độc hại trở nên nguy hiểm hơn nữa, Bar nói thêm, là phần mềm độc hại không có bộ lọc, có nghĩa là nó không dựa vào các tệp mà các chương trình chống vi-rút có thể gắn cờ và không để lại dấu vết rõ ràng trên máy tính bị nhiễm, khiến nó rất khó theo dõi.
Dựa trên phân tích của họ về phần mềm độc hại, các nhà nghiên cứu của Kaspersky lưu ý rằng MoonBounce là bước đầu tiên trong một cuộc tấn công nhiều giai đoạn. Những kẻ lừa đảo đằng sau MoonBounce sử dụng phần mềm độc hại để thiết lập chỗ đứng trong máy tính của nạn nhân, sau đó chúng có thể hiểu được chúng có thể được sử dụng để triển khai các mối đe dọa bổ sung nhằm đánh cắp dữ liệu hoặc triển khai ransomware.
Tuy nhiên, ân sủng tiết kiệm là các nhà nghiên cứu chỉ tìm thấy một trường hợp của phần mềm độc hại cho đến nay. "Tuy nhiên, đó là một bộ mã rất phức tạp, đáng lo ngại; nếu không có gì khác, nó báo trước khả năng xuất hiện phần mềm độc hại tiên tiến khác trong tương lai", Tim Helming, nhà truyền bá bảo mật của DomainTools, cảnh báo Lifewire qua email.
Therese Schachner, Cố vấn An ninh Mạng tại VPNBrains đã đồng ý. "Vì MoonBounce đặc biệt tàng hình, nên có thể có thêm các trường hợp tấn công MoonBounce chưa được phát hiện."
Cấy vào máy tính của bạn
Các nhà nghiên cứu lưu ý rằng phần mềm độc hại được phát hiện chỉ vì những kẻ tấn công đã mắc lỗi khi sử dụng cùng một máy chủ truyền thông (về mặt kỹ thuật là máy chủ điều khiển và lệnh) như một phần mềm độc hại đã biết khác.
Tuy nhiên, Helming nói thêm rằng vì không rõ quá trình lây nhiễm ban đầu diễn ra như thế nào, nên hầu như không thể đưa ra hướng dẫn cụ thể về cách tránh bị lây nhiễm. Tuy nhiên, việc tuân theo các phương pháp hay nhất về bảo mật được chấp nhận tốt là một khởi đầu tốt.
"Mặc dù phần mềm độc hại tự phát triển, nhưng các hành vi cơ bản mà người dùng bình thường nên tránh để bảo vệ bản thân vẫn chưa thực sự thay đổi. Luôn cập nhật phần mềm, đặc biệt là phần mềm bảo mật, rất quan trọng. Tránh nhấp vào các liên kết đáng ngờ vẫn là một chiến lược tốt ", Tim Erlin, Phó Giám đốc chiến lược tại Tripwire, đề xuất với Lifewire qua email.
… có thể có thêm các trường hợp tấn công MoonBounce vẫn chưa được phát hiện.
Thêm vào đề xuất đó, Stephen Gates, Nhà truyền bá bảo mật tại Checkmarx, nói với Lifewire qua email rằng người dùng máy tính để bàn thông thường phải vượt xa các công cụ chống vi-rút truyền thống, không thể ngăn chặn các cuộc tấn công không có tệp, chẳng hạn như MoonBounce.
"Tìm kiếm các công cụ có thể tận dụng khả năng kiểm soát tập lệnh và bảo vệ bộ nhớ, đồng thời cố gắng sử dụng các ứng dụng từ các tổ chức sử dụng phương pháp phát triển ứng dụng hiện đại, an toàn, từ cuối ngăn xếp lên trên cùng", Gates đề xuất.
Mặt khác,Bar ủng hộ việc sử dụng các công nghệ, chẳng hạn như SecureBoot và TPM, để xác minh rằng chương trình cơ sở khởi động chưa được sửa đổi như một kỹ thuật giảm thiểu hiệu quả chống lại phần mềm độc hại bootkit.
Schachner, trên các dòng tương tự, đề xuất rằng cài đặt các bản cập nhật firmware UEFI khi chúng được phát hành sẽ giúp người dùng kết hợp các bản sửa lỗi bảo mật để bảo vệ máy tính của họ tốt hơn trước các mối đe dọa mới nổi như MoonBounce.
Hơn nữa, cô ấy cũng khuyến nghị sử dụng các nền tảng bảo mật tích hợp tính năng phát hiện mối đe dọa phần sụn. "Các giải pháp bảo mật này cho phép người dùng được thông báo về các mối đe dọa phần sụn tiềm ẩn càng sớm càng tốt để chúng có thể được giải quyết kịp thời trước khi các mối đe dọa leo thang."
