ผลิตภัณฑ์สำหรับผู้ใช้ตามบ้าน
ผลิตภัณฑ์สำหรับองค์กร
กิจกรรมและประชาสัมพันธ์
รับสมัครงาน
ข้อมูลที่น่าสนใจ
ติดต่อขอรับบริการหลังการขาย
หรือสอบถามข้อมูลต่างๆได้ที่
02-645-2301 ถึง 4
support@panda-thailand.com
Panda Security » Media Center
ระวังมัลแวร์ตัวนี้: กำจัดได้ไม่หมดถึงแม้จะลงระบบปฏิบัติการใหม่

 

APT18, Pawn Storm, Sofacy Group, Sednit และ STRONTIUM) เป็นกลุ่มหน่วยสืบราชการลับไซเบอร์ในรัสเซียที่เชี่ยวชาญในการโจมตีทางอินเทอร์เน็ตซึ่งจัดอยู่ในประเภท Advanced Persistent Threats (APTs)

การพัฒนาตัวมัลแวร์ล่าสุดมีระดับความซับซ้อนขึ้นที่เรียกว่า LoJax เป็นบางส่วนของมัลแวร์ที่ฝังอยู่ในระบบปฏิบัติการที่ติดตั้งใหม่ได้นี่เป็นสิ่งที่อันตรายมากสำหรับบริษัท และสถาบันที่ไม่มีการป้องกันการโจมตีแบบนี้

LoJax ทำงานอย่างไร?

LoJax ทำหน้าที่เหมือน rootkit นั่นคือโปรแกรมหรือชุดเครื่องมือที่ช่วยให้สามารถเข้าถึงคอมพิวเตอร์หรือเครือข่ายของผู้ดูแลได้ในขณะที่ซ่อนตัวอยู่ แต่สิ่งที่ทำให้ LoJax พิเศษคือ rootkit แรกที่ถูกตรวจจับได้โดยตรงซึ่งจะโจมตียูนิฟายด์เฟิร์มแวร์อินเทอร์เฟซ (UEFI)

และ UEFI คืออะไร? UEFI คือตัวต่อของ BIOS ซึ่งเป็นกุญแจสำคัญในการใช้คอมพิวเตอร์เนื่องจากทั้งสองเฟิร์มแวร์จัดเก็บไว้ในหน่วยความจำแยกต่างหากที่พบในเมนบอร์ดและทั้งสองมีคำสั่งที่ควบคุมการทำงานบนวงจรของคอมพิวเตอร์ซึ่งทั้งหมดนี้หมายความว่าไม่ต้องพึ่งพาบนระบบปฏิบัติการ

ดังนั้น LoJax ใช้ประโยชน์จากช่องโหว่ใน Computrace LoJack ซึ่งเป็นซอฟต์แวร์ที่ติดตั้งไว้ล่วงหน้าบนคอมพิวเตอร์ UEFI จำนวนมาก ซอฟต์แวร์นี้จะส่งข้อมูลเกี่ยวกับตำแหน่งของคอมพิวเตอร์รวมถึงการอนุญาตให้ลบไฟล์หรือบล็อกในกรณีที่เกิดการโจรกรรม เนื่องจากเป็นกลไกป้องกันการโจรกรรม LoJack ถูกออกแบบมาให้อยู่ในเครื่องคอมพิวเตอร์แม้ว่าจะมีการติดตั้งหรือแทนที่ระบบปฏิบัติการใหม่บนฮาร์ดไดรฟ์

วิธีการที่ LoJax เข้าถึงทั้ง UEFI และ LoJack คือการใช้ไฟล์ไบนารีที่จากระบบปฏิบัติการรวบรวมข้อมูลเกี่ยวกับฮาร์ดแวร์ของมัน จากนั้นอัปเดต UEFI ซ่อนโค้ดที่เป็นอันตรายและเขียนข้อมูลใหม่ทั้งหมดจาก Windows ด้วยวิธีนี้ผู้ทำงานไซเบอร์สามารถควบคุมได้ทั้งหมดจาก UEFI

วิธีการหลีกเลี่ยงการโจมตีแบบ
LoJax

LoJax ไม่ได้เป็นอันตรายเพียงเพราะทำให้ UEFI ติดไวรัสแต่ความจริงที่ว่าโซลูชันการป้องกันไซเบอร์จำนวนมากรวมถึงขององค์กรที่มีอยู่ในหลายบริษัทสามารถมองข้าม Computrace LoJack และซอฟต์แวร์ UEFI เพื่อความปลอดภัย. องค์กรต้องใช้มาตรการด้านความปลอดภัยในโลกไซเบอร์ที่ปกป้องระบบปฏิบัติการ

  1. ป้องกัน Secure boot mode ข่าวดีก็คือ rootkit ไม่ได้รับการลงทะเบียนความปลอดภัยอย่างถูกต้องเหมือนกับฮาร์ดแวร์ตัวอื่นที่ตรวจพบบน UEFI มาตรการรักษาความปลอดภัยตัวแรกคือการเปิดใช้งานโหมดปลอดภัยของ UEFI บนคอมพิวเตอร์ของบริษัท เมื่อเปิดใช้งานโหมดนี้คอมโพเนนต์ทั้งหมดของเฟิร์มแวร์ต้องได้รับการลงนามอย่างถูกต้อง

  2. ความทันสมัยของชิปเซ็ตคอมพิวเตอร์ ช่องโหว่ที่พบใน Computrace LoJack ที่ทำให้มีการโจมตี LoJax ทำงานได้เฉพาะกับการตั้งค่า UEFI เก่าเท่านั้น ชุดชิปเซ็ต Intel 5 ที่เปิดตัวครั้งแรกในปี 2008 มีฮับคอนโทรลเลอร์สำหรับแพลตฟอร์มซึ่งได้รับการพิสูจน์แล้วว่าป้องกัน LoJax ได้

  3. โซลูชั่นรักษาความปลอดภัย AD360 เพื่อป้องกันมัลแวร์ทั่วไปควรมีโซลูชันด้านความปลอดภัย Adaptive Defense 360 ที่นอกเหนือไปจากการตรวจหาช่องโหว่ในจุดเข้าใช้งาน และคำนึงถึงความปลอดภัยของปลายทาง
    มีโซลูชันที่ทำให้การป้องกันตรวจจับ และตอบสนองต่อภัยคุกคามขั้นสูงเช่น APTs โดยอัตโนมัติ ชุดรักษาความปลอดภัยโลกไซเบอร์ที่ทันสมัยของเรา Panda Adaptive Defense สามารถตรวจสอบไซเบอร์เน็ต และการเข้าถึงอินเทอร์เน็ตที่ไม่พึงประสงค์ได้โดยสิ้นเชิง นอกจากนี้ยังมีโมดูลเพิ่มเติมที่ดูแลด้านที่มักถูกมองข้ามคือการติดตั้งแพทช์และการอัปเดต AD360 ของเราประกอบด้วยการมองเห็นรายละเอียดของกิจกรรมบนอุปกรณ์ปลายทางรควบคุมกระบวนการทำงานทั้งหมดและการลดการโจมตีเพื่อไม่ให้ บริษัท ต่างๆตกเป็นเหยื่อการโจมตีไม่ว่าจะมีความซับซ้อนเพียงใดก็ตาม

Credit : https://www.pandasecurity.com/mediacenter/news/lojax-malware/

โพสเมื่อ : 29 พฤศจิกายน 2561
© Skysoft 2011-2017
All Rights Reserved. Industry-leading Antivirus Software
 

Contact

Facebook

Twitter

YouTube