Үндсэн санаанууд
- Аюулгүй байдлын судлаачид эх хавтан дээрх флаш санах ойг халдварладаг өвөрмөц хортой программыг илрүүлжээ.
- Хортой программыг устгахад хэцүү бөгөөд судлаачид компьютерт хэрхэн нэвтэрдгийг хараахан ойлгоогүй байна.
-
Bootkit-н хортой программ цаашид хөгжсөөр байх болно гэж судлаачдад анхааруулж байна.
Компьютерийг халдваргүйжүүлэхэд байгаагаар нь хийх шаардлагатай. Аюулгүй байдлын судлаачид компьютерын гүнд суулгаж байгааг олж мэдсэн тул шинэ хорлонтой програм нь энэ ажлыг улам хүндрүүлж байгаа тул та үүнийг арилгахын тулд эх хавтанг тайлах хэрэгтэй болно.
Үүнийг илрүүлсэн Касперскийн аюулгүй байдлын мэргэжилтнүүдийн MoonBounce гэж нэрлэсэн бөгөөд техникийн хувьд ачаалах хэрэгсэл гэж нэрлэгддэг хортой програм нь хатуу дискний гадна талд нэвтэрч, компьютерийн нэгдсэн өргөтгөлтэй програм хангамжийн интерфейс (UEFI) ачаалах программ руу нэвтэрдэг.
"Халдлага нь маш нарийн юм" гэж SafeBreach-ийн Аюулгүй байдлын судалгааны захирал Томер Бар Lifewire-д цахим шуудангаар мэдэгдэв. "Хохирогч нэг удаа халдвар авсан бол хатуу дискний формат ч тус болохгүй тул энэ нь маш тогтвортой байдаг."
Шинэ аюул
Bootkit-ийн хорлонтой програм ховор боловч цоо шинэ биш бөгөөд сүүлийн хоёр жилийн хугацаанд Касперский өөрөө өөр хоёрыг нээсэн. Гэсэн хэдий ч MoonBounce-ийн онцлог нь эх хавтан дээр байрлах флаш санах ойг халдварладаг бөгөөд энэ нь вирусны эсрэг программ хангамж болон бусад бүх хортой програмыг устгах ердийн хэрэгсэлд нэвтэрдэггүй.
Үнэндээ Касперскийн судлаачид хэрэглэгчид үйлдлийн системийг дахин суулгаж, хатуу дискээ сольж болно гэдгийг тэмдэглэж байгаа боловч хэрэглэгчид өөрсдийн тодорхойлсон халдвар авсан флаш санах ойг дахин асаах хүртэл ачаалах хэрэгсэл нь халдвар авсан компьютер дээр хэвээр байх болно. "маш нарийн төвөгтэй процесс" эсвэл эх хавтанг бүхэлд нь солих.
Хортой программыг илүү аюултай болгодог зүйл бол вирусын эсрэг программууд дарцаглаж болох файлууд дээр тулгуурладаггүй бөгөөд халдвар авсан компьютер дээр ямар ч ул мөр үлдээдэггүй гэсэн үг бөгөөд энэ нь файлгүй байдаг. мөрдөхөд хэцүү.
Касперскийн судлаачид хортой програмын шинжилгээнд үндэслэн MoonBounce нь олон үе шаттай халдлагын эхний алхам гэдгийг тэмдэглэжээ. MoonBounce-ийн ард байгаа хуурамч жүжигчид энэ хортой програмыг ашиглан хохирогчийн компьютерт нэвтэрч, улмаар өгөгдөл хулгайлах эсвэл ransomware байршуулах нэмэлт аюул заналхийлэхэд ашиглаж болно.
Хэмнэх ач ивээл нь судлаачид өнөөг хүртэл хорлонтой програмын ганцхан тохиолдлыг олсон явдал юм. "Гэсэн хэдий ч энэ нь маш нарийн багц код бөгөөд хэрэв өөр зүйл байхгүй бол ирээдүйд бусад дэвшилтэт хортой програм гарч болзошгүйг илтгэнэ" гэж DomainTools-ийн аюулгүй байдлын сайн мэдээг түгээгч Тим Хелминг Lifewire-д цахим шуудангаар анхааруулав.
VPNBrains-ийн кибер аюулгүй байдлын зөвлөх Терезе Шачнер зөвшөөрөв. "MoonBounce нь маш нууцлагдмал байдаг тул MoonBounce халдлагын нэмэлт тохиолдлууд хараахан илрээгүй байж болзошгүй."
Компьютерээ тарина
Халдагчид өөр нэг хортой програмтай ижил холбооны серверүүдийг (техникийн хувьд команд ба удирдлагын сервер гэж нэрлэдэг) ашигласан алдаа гаргасны улмаас л хортой программыг илрүүлсэн гэж судлаачид тэмдэглэж байна.
Гэсэн хэдий ч, Хелминг нэмж хэлэхдээ, анхны халдвар хэрхэн явагддаг нь тодорхойгүй байгаа тул халдвар авахаас хэрхэн сэргийлэх талаар маш тодорхой заавар өгөх нь бараг боломжгүй юм. Хэдийгээр хүлээн зөвшөөрөгдсөн аюулгүй байдлын шилдэг туршлагыг дагаж мөрдөх нь сайн эхлэл юм.
"Хоролтой програм өөрөө хөгжихийн хэрээр жирийн хэрэглэгчийн өөрийгөө хамгаалахын тулд зайлсхийх ёстой үндсэн зан үйлүүд огт өөрчлөгдөөгүй. Програм хангамж, ялангуяа хамгаалалтын программ хангамжийг шинэчилж байх нь чухал. Сэжигтэй холбоос дээр дарахаас зайлсхийх нь сайн стратеги хэвээр байна " гэж Tripwire-ийн стратегийн дэд захирал Тим Эрлин Lifewire-д имэйлээр санал болгосон.
… хараахан илрүүлээгүй байгаа MoonBounce халдлагын нэмэлт тохиолдол байж магадгүй.
Үүн дээр нэмээд Checkmarx-ийн Аюулгүй байдлын Евангелист Стивен Гейтс Lifewire-д цахим шуудангаар энгийн ширээний хэрэглэгч MoonBounce гэх мэт файлгүй халдлагаас сэргийлж чаддаггүй уламжлалт вирусны эсрэг хэрэгслээс илүү гарах ёстой гэж хэлсэн.
"Скриптийн хяналт болон санах ойн хамгаалалтыг ашиглаж болох хэрэгслүүдийг хайж, аюулгүй, орчин үеийн программ хөгжүүлэх арга зүйг ашигладаг байгууллагуудын программуудыг стекийн доод хэсгээс дээш хүртэл ашиглахыг хичээ" гэж Гейтс санал болгов.
Bar нь нөгөө талаас, ачаалах программ хангамжийг ачаалах программыг хорлон сүйтгэх үр дүнтэй арга болгон өөрчлөөгүй эсэхийг шалгахын тулд SecureBoot болон TPM зэрэг технологийг ашиглахыг дэмжсэн.
Шахнер үүнтэй төстэй шугамаар UEFI программ хангамжийн шинэчлэлтүүдийг гарах үед суулгаснаар хэрэглэгчид MoonBounce зэрэг шинээр гарч ирж буй аюулаас компьютерээ илүү сайн хамгаалдаг аюулгүй байдлын засваруудыг оруулахад тусална гэж санал болгов.
Цаашилбал, тэрээр програм хангамжийн аюул илрүүлэхийг агуулсан аюулгүй байдлын платформ ашиглахыг зөвлөсөн. "Эдгээр аюулгүй байдлын шийдлүүд нь хэрэглэгчдэд програм хангамжийн болзошгүй аюулын талаар аль болох хурдан мэдээлэх боломжийг олгодог бөгөөд ингэснээр аюул заналхийлэхээс өмнө тэдгээрийг цаг тухайд нь арилгах боломжтой."
