آخر تحديث: السبت | التاريخ: 2020/11/21

كيف تحمي جهازك من فايروس UEFI bootkit

كيف تحمي جهازك من فايروس UEFI bootkit

UEFI، مثل BIOS (الذي تحل محله)، عبارة عن برنامج يعمل مباشرة عند بدء تشغيل الكمبيوتر، حتى قبل بدء تشغيل نظام التشغيل. علاوة على ذلك، لا يتم تخزينه هذا البرنامج على القرص الثابت، وإنما على رقاقة على اللوحة الأم. فإذا ما قام مجرمو الإنترنت بتعديل تعليمات UEFI البرمجية، فسيكون بمقدورهم استخدامه في إقحام برامج ضارة في نظام الضحية.

وفي إنشاء البرنامج الثابت لواجهة UEFI المعدلة، استخدم المهاجمون التعليمة البرمجية المصدر VectorEDK، وهي تخص فيروس bootkit الذي طورته شركة هاكنج تيم وتم تسريبه على الإنترنت. وعلى الرغم من أن التعليمات البرمجية المصدر صارت متاحة للجمهور في عام 2015، فإن هذا هو أول دليل بصدر من كاسبرسكي على استخدامها من قبل مجرمي الإنترنت.

عند بدء تشغيل النظام، يضع bootkit الملف الضار IntelUpdate.exe في مجلد بدء تشغيل النظام. يقوم الملف التنفيذي بتنزيل مكونات MosaicRegressor أخرى وتثبيتها على الكمبيوتر. ونظرًا للعزلة النسبية لواجهة UEFI، فحتى إذا تم اكتشاف هذا الملف الضار، يكاد يكون من المستحيل إزالته. ولا يفيد في ذلك حذفه ولا حتى إعادة تثبيت نظام التشغيل. والطريقة الوحيدة لإصلاح المشكلة هي إعادة تحميل البرامج في رقائق اللوحة الأم.

ما مدى خطورة MosaicRegressor؟

مكونات MosaicRegressor التي تمكن بواسطتها من التسلل إلى أجهزة كمبيوتر الضحايا (إما من خلال واجهة UEFI مخترقة أو تصيد احتيالي موجه) متصلة بخوادم القيادة والتحكم (C&C) الخاصة به، حيث تم تنزيل وحدات إضافية وتشغيلها. بعد ذلك، تم استخدام هذه الوحدات لسرقة المعلومات. على سبيل المثال، أرسل أحدهم مستندات تم فتحها مؤخرًا إلى مجرمي الإنترنت.

تم استخدام آليات مختلفة للتواصل مع خوادم القيادة والتحكم: مكتبة cURL (لـبروتوكولات HTTP/HTTPS) وواجهة خدمة النقل الذكي في الخلفية (BITS) وواجهة برمجة WinHTTP وخدمات البريد العامة التي تستخدم بروتوكول POP3S أو SMTPS أو IMAPS.

كيفية الحماية من MosaicRegressor

للحماية من Mosaic Regressor، فإن التهديد الأول الذي يلزم القضاء عليه هو التصيد الاحتيالي الموجّه، وهي الطريقة التي تبدأ بها معظم الهجمات المعقدة. لأقصى حماية لأجهزة الكمبيوتر الخاصة بالموظفين، نوصي باستخدام مجموعة من منتجات الأمان المزودة بتقنيات مكافحة التصيد الاحتيالي المتقدمة و التوعية لزيادة وعي الموظفين بشأن الهجمات من هذا النوع.

ترصد حلول الأمان الخاصة في كاسبرسكي الوحدات الضارة المكلفة بمهمة سرقة البيانات.

بالنسبة إلى البرامج الثابتة المخترقة، فلسوء الحظ غير معروف كيفية وصول bootkit إلى أجهزة كمبيوتر الضحايا على وجه التحديد. واستنادًا إلى بيانات من تسريبات هاكنج تيم، من المفترض أن المهاجمين بحاجة إلى الوصول الفعلي إلى الأجهزة واستخدام محرك أقراص USB لإصابتها بالبرنامج الضار. ومع ذلك، لا يمكن استبعاد الطرق الأخرى لاختراق UEFI.

للحماية من فيروس MosaicRegressor UEFI bootkit:

• راجع موقع الويب الخاص بالشركة المصنعة للكمبيوتر أو اللوحة الأم لمعرفة ما إذا كانت أجهزتك تدعم Intel Boot Guard، والذي يحول دون التعديل غير المصرح به لبرنامج UEFI الثابت.

• استخدم تشفير القرص الكامل لمنع bootkit من تثبيت حمولته.

• استخدم حلول أمان موثوقة يمكنها البحث عن التهديدات المماثلة وتحديدها.

مقالات ذات صله