زومیت |
2 سال پیش

بدافزار MoonBounce با پنهان شدن در بایوس حتی پس از فرمت درایو همچنان روی سیستم باقی خواهد ماند زومیت

بدافزار MoonBounce با پنهان شدن در بایوس پس از فرمت درایو هم روی سیستم باقی خواهد ماند

بدافزار  MoonBounce با پنهان شدن در بایوس پس از فرمت درایو هم روی سیستم باقی خواهد ماند

بدافزاری به‌نام MoonBounce خود را روی تراشه‌ی بایوس قرار داده و حتی پس از فرمت هارد درایو، همچنان روی رایانه‌ی شما باقی خواهد ماند. همچنین امکان نصب از راه دور این بدافزار نیز وجود دارد.

بدافزاری جدید موسوم به MoonBounce مسیر کاملاً مخفی و سختی را برای ورود به سیستم‌عامل شما طی می‌کند. این بدافزار در تراشه‌ی بایوس پنهان شده و بنابراین حتی پس از نصب مجدد سیستم‌عامل یا فرمت کردن هارد درایو، همچنان روی سیستم باقی خواهد ماند.

به گزارشتامزهاردور، کسپراسکی از سال ۲۰۱۹ شاهد رشد تهدیدات بدافزار میان رابط توسعه‌پذیر یکپارچه (UEFI) بوده است و اکثر بدافزارها در پارتیشن سیستم EFI حافظه‌ی ذخیره‌سازی رایانه‌ی شخصی ذخیره می‌شوند. بااین‌‌حال یکبدافزارجدید توسط لاگر اسکنرهای میان‌افزاری کسپراسکی شناسایی شده است که کدهای مخرب را در فلش رابط محیطی سریال (SPI) مادربرد قرار می‌دهد. محققان امنیتی این بدافزار UEFI را MoonBounce نامیده‌اند.

MoonBounce اولین بدافزار UEFI نیست که فلش را هدف قرار می‌دهد. به گفته‌ی کسپراسکی موارد دیگری مثل LoJax و MosaicRegressor نیز پیش از این با روشی مشابه سیستم کاربران را آلوده می‌کردند. بااین‌‌حال، MoonBounce پیشرفته‌تر بوده و جریان حمله‌ی آن نیز پیچیده‌تر است و پیچیدگی فنی بیشتری دارد. علاوه‌براین به‌نظر می‌رسد این بدافزار می‌تواند حتی از راه‌ دور سیستم قربانی را آلوده کند.

روش ورود MoonBounce به سیستم باعث شده تشخیص و دفع آن سخت‌تر شود. کسپراسکی در وبلاگ SecureList خود توضیح داده که منبع آلودگی با مجموعه‌ای از قلاب‌ها شروع می‌شود که اجرای چندین عملکرد را در جدول خدمات بوت UFI متوقف می‌کند. سپس از قلاب‌ها برای هدایت فراخوانی تابع به کد پوسته‌ی مخربی که مهاجمان به تصویر CORE_DXE اضافه کرده‌اند، استفاده می‌شود. به گفته‌ی محققان امنیتی، این مرحله به‌نوبه‌ی خود قلاب‌های اضافی را در اجرای بعدی زنجیره‌ی بوت، یعنی بارگذاری ویندوز ایجاد می‌کند. این راهکار به بدافزار اجازه می‌دهد به فرایند svchost.exe تزریق شده و هروقت رایانه روشن شد، اجرا شود.

moonbounce روی بایوس

شرکت Transport Technology تنها حمله‌ی ثبت شده تاکنون

البته کسپراسکی علاقه‌مند است ببیند MoonBounce در مرحله‌ی بعدی چه خواهد کرد. بنابراین محققان فرایند بدافزار را روی یک سیستم آلوده مشاهده کردند که سعی می‌کند برای دریافت بار بعدی و اجرای آن به یک URL دسترسی داشته باشد. جالب این است که این بخش از حمله پیچیده به‌‌ نظر نمی‌رسد ولی محققان نتوانستند از همین مرحله، روش کارکرد این بدافزار را تجزیه‌وتحلیل کنند. شاید MoonBounce در زمان شناسایی هنوز در‌ حال آزمایش بوده یا برای مقاصد خاص از شناسایی آن جلوگیری شده است. علاوه‌براین، بدافزار مورد بحث مبتنی‌‌ بر فایل نیست و حداقل برخی از عملیات خود را فقط در حافظه‌ انجام می‌دهد و به‌سختی می‌توان متوجه شد که MoonBounce روی رایانه‌ی شخصی میزبان در شبکه‌ی یک شرکت دقیقاً چه کاری انجام داده است.

مقاله‌ی مرتبط:

به‌نظر می‌رسد یک دستگاه متعلق به شرکت Transport Technology تنها دستگاهی است که بر‌ اساس لاگ‌های کسپراسکی به بدافزار MoonBounce در SPI-Flash آلوده شده است. ما نمی‌دانیم که این دستگاه چگونه آلوده شده، اما تصور می‌شود که بدافزار از راه‌ دور روی آن اجرا شده باشد. ظاهراً این دستگاه در Transport Technology، ایمپلنت‌های بدافزار غیر UEFI را به سایر دستگاه‌های متصل به شبکه پخش کرده است. با توجه به اینکه بسیاری از اقدامات این بدافزار بدون فایل و فقط از‌ طریق حافظه انجام می‌شود، مشاهده این نمونه‌ی ساده، آسان نیست.

نمودار زیر جریان نحوه‌ی راه‌اندازی و استقرار MoonBounce را از لحظه‌ی روشن شدن رایانه‌ی شخصی UEFI، از‌ طریق بارگذاری ویندوز و تبدیل شدن به رایانه‌ای قابل‌استفاده اما آلوده نشان می‌دهد.

فلوچارت بدافزار MoonBounce

ردپای تیم APT41 در بدافزار MoonBounce

یکی دیگر از شاخه‌های مهم کار محققان امنیتی مثل کسپراسکی، بررسی این موضوع است که چه کسی پشت بدافزارهای کشف‌شده قرار دارد، اهداف بدافزار چیست و به چه منظوری طراحی شده است.

کسپراسکی در‌‌ مورد MoonBounce، کاملاً اطمینان دارد که این بدافزار محصول APT41 است؛ تیم تهدیدکننده‌ای که در گزارش‌های مختلف اعلام شده چینی‌زبان است. در این مورد، اسلحه‌ی این تیم یک گواهی منحصر‌به‌فرد است که FBI آن را قبلاً به‌عنوان سیگنال استفاده از زیرساخت متعلق به APT41 گزارش کرده است. APT41 سابقه‌ی حملات زنجیره‌ای دارد و بنابراین این ادامه‌ی یک رشته‌ی مرکزی از عملیات پلید این تیم است.

اقدامات ایمنی

کسپراسکی برای کمک به جلوگیری از قربانی شدن توسط MoonBounce یا بدافزارهای مشابه UEFI، چند پیشنهاد ارائه کرده است. این شرکت به کاربران توصیه می‌کند که سخت‌افزار UEFI خود را به‌طور مستقیم از سازنده‌ی آن به‌روزرسانی کنند. همچنین باید تأیید شود که ‌BootGuard در‌ صورت موجود بودن، فعال است. علاوه‌براین فعال کردن ماژول‌های Trust Platform نیز می‌تواند در این زمینه مفید باشد. مورد دیگر این است که رایانه‌ی خود را با استفاده از سیستم‌عامل، به‌منظور شناسایی خطرات احتمالی، بررسی کنید.



#‌فناوری #‌تکنولوژی #‌علمی منبع: زومیت

بیشتر...


تبلیغات

تبلیغات

مطالب مرتبط

بریف بی-۲۰۰ آلت‌ایر (Beriev Be-200 Altair) یک هواپیمای جت آبی-خاکی است که توسط شرکت هواپیماسازی بریف در روسیه طراحی و ساخته شده است.

3 ساعت پیش

هیوندای از جزئیات مربوط به توسان جدید موجود در آمریکای شمالی پرده‌برداری کرد. طراحی و ویژگی‌های بیرونی و داخلی با مدل جهانی مطابقت دارد. زیر پوسته توسان جدید، قدرت بیشتری برای تریم‌های هیبریدی و پلاگین هیبریدی وجود دارد.

19 ساعت پیش

دانشمندان «دانشگاه استنفورد» و «دانشگاه پنسیلوانیا» به سرپرستی دکتر «مریم حاج فتحعلیان»، از نانوذرات طلا برای از بین بردن باکتری‌های دهان و دندان استفاده کرده‌اند.

5 ساعت پیش

سیاه‌چاله مرکزی کهکشان راه شیری جرمی حدود ۴.۳ میلیون برابر خورشید دارد و یک سیاه‌چاله فعال است.

22 ساعت پیش

لامبورگینی جدیدترین خودروسازی است که هویت سازمانی خود را با معرفی لوگوی به روز شده تغییر داده است. شما این گاو خشمگین اصلاح شده را به زودی در خودروهای این شرکت نیز خواهید دید.

14 ساعت پیش

گروه جدیدی از ماهواره‌های «استارلینک» شرکت «اسپیس‌ایکس» قرار بود روز پنجشنبه ۲۸ مارس از کالیفرنیا پرتاب شوند اما این پرتاب یک روز به تعویق افتاد.

نیم ساعت پیش

محققانی در دانمارک با استفاده از هوش مصنوعی و داده‌های چندین میلیون نفر، به پیش بینی مراحل زندگی یک فرد تا انتهای زندگی‌اش پرداخته‌اند و امیدوارند که بدین ترتیب بتوانند آگاهی‌ها درباره قدرت فناوری و خطرات آن را افزایش دهند.

12 ساعت پیش

فردی که از قوانین گارانتی اپل برای تبدیل آیفون و آیپد تقلبی به مدل‌ اصل استفاده می‌کرد، دستگیر و به‌ تحمل حبس محکوم شد.

دیروز

ایلان ماسک، مدیر اجرایی تسلا مدت‌هاست که به شدت با ایده تبلیغات سنتی مخالف بوده است. موضع ضد تبلیغاتی او میلیاردها دلار برای شرکت صرفه جویی کرده و از سوی بسیاری به عنوان یک ضربه بزرگ تلقی شده است.

16 ساعت پیش

بیشتر...