Cách viết mã độc

      70

Hãng bảo mật ESET đã phân phát hiện ra một malware(mã độc)cực kỳ nguy hiểm, mang tên Lojax, đang lây nhiễm vào laptop nạn nhân những đoạn code độc hại, nhiều khả năng đến từ một nhóm hacker mang tên Fancy Bear – một team hacker nổi tiếng đến từ Nga .

Bạn đang xem: Cách viết mã độc

Cuộc tấn công này nhắm vào phần mềm UEFI của laptop. UEFI là tên gọi viết tắt của giao diện Unified Extensible Firmware Interface, một phiên bản nâng cấp của BIOS trước đây, được sử dụng để khởi động hệ thống. Bằng biện pháp viết lại UEFI, malware bao gồm thể tồn tại lâu dài trong bộ nhớ flash của máy tính, được cho phép nó sống sót tức thì cả lúc thiết lập đặt lại hệ điều hành cùng gắng ổ cứng.

Loại bỏ malware này đồng nghĩa với việc viết đè cổ lên bộ nhớ của ổ lưu trữ flash, "một hành động ko thường được thực hiện và chắc chắc không giành cho người cần sử dụng phổ thông," ESET mang đến biết trong bài đăng trên blog của bản thân.



ESET ko tiết lộ chủ sở hữu của máy vi tính bị nhiễm mã độc, nhưng hãng bảo mật này đến biết, họ đã phát hiện ra Fancy Bear đang sử dụng những thành phần không giống nhau của malware Lojax trên những máy vi tính thuộc các tổ chức thiết yếu phủ ở các quốc gia vùng Balkan, vùng Trung cùng Đông Âu.

Theo ESET, Lojax là rootkit đầu tiên nhắm mục tiêu đến UEFI từng bị phát hiện Khi đang tấn công vào một hệ thống máy vi tính vào thế giới thực. Trước đây, những Chuyên Viên chủ yếu coi những rootkit UEFI như một dạng tấn công vào lý thuyết, cho dù đã bao gồm các bằng chứng đến thấy những hãng sản xuất bảo mật tư nhân đang chào bán những công cụ hack cho những người tiêu dùng bao gồm phủ.

"Có thể xem nó như một thông điệp cảnh báo, đặc biệt là với tất cả những ai vào tầm ngắm của Fancy Bear," ESET mang lại biết. Nhóm hacker này, còn được biết đến dưới thương hiệu Sednit, bị chỉ trích bởi một loạt những cuộc tấn công vào những đội chính phủ, bao gồm cả vụ rò rỉ công bố vào mạng máy tính của Ủy bản Dân chủ Quốc gia vào chiến dịch tnhóc cử tổng thống Mỹ năm 2016.

Xem thêm: Tiểu Sử Ca Sĩ Lâm Chí Khanh Tiểu Sử, Đời Tư, Sự Nghiệp Và Tình Cảm Nữ Ca Sĩ

ESET mang đến biết hành vi của Lojax bắt chước một công cụ phần mềm hợp pháp mang tên Lojaông chồng, một sản phẩm chống trộm cắp cũng rất rất khó có thể có thể loại bỏ khỏi máy vi tính PC. "Trong Lúc mục đích của phần mềm này là để bảo vệ hệ thống khỏi kẻ trộm, khả năng sống sót qua việc download lại hệ điều hành với thay ổ cứng là rất quan tiền trọng. Vì vậy nó được triển knhì như một module vào UEFI/BIOS, tất cả thể sống sót qua các sự kiện như vậy." ESET cho biết.

Fancy Bear cho thấy đã vũ khí hóa sản phẩm chống trộm cắp Lojachồng, để giúp đội hacker tấn công những máy tính xách tay với vượt qua các phần mềm bảo mật. ESET nhấn mạnh rằng các đơn vị cung cấp sản phẩm chống virut sẽ được cho phép Lojaông chồng chạy bên trên PC, khi giả định rằng những process hệ thống này bình yên.


*


Vẫn chưa rõ Fancy Bear làm phương pháp làm sao để đưa malware này vào máy tính nạn nhân, nhưng nó tất cả thể được sử dụng để tải xuống các module phần mềm độc hại khác vào máy tính xách tay bị lây nhiễm. "Khả năng tốt nhất của Lojax là vô hình và "sống dai", nên nó hoàn toàn tất cả thể được sử dụng để đảm bảo duy trì truy nã cập được vào các tài ngulặng quan lại trọng trên laptop." ESET đến biết trong report của mình.

Hãng bảo mật này nghi ngờ Lojax được Fancy Bear phân phát triển từng phần dựa bên trên những câu lệnh và trang bị chủ điều khiển giao tiếp với malware. Các tên miền dành cho những đồ vật chủ này trước đây từng được sử dụng để lưu trữ những công cụ hack khác vị Fancy Bear vạc triển.

Tin tốt là bạn có thể chặn cuộc tấn công Lojax trải qua một tính năng tiêu chuẩn của PC, có tên Secure Boot. Tính năng này sẽ kiểm tra tất cả những phần trong máy vi tính PC của bạn, bao gồm cả firmware, để coi bọn chúng gồm được xác thực với mã hợp lệ bởi đơn vị sản xuất cam kết chứng nhận hay là không. Malware Lojax sẽ ko vượt qua được bài kiểm tra này. Secure Boot thường được kích hoạt mặc định. Để bật hoặc tắt nó, bạn có thể khởi động lại máy tính xách tay, vào phần BIOS để truy tìm cập vào tính năng này.

ESET cũng khuyến cáo người sở hữu PC liên tục cập nhật firmware mang lại bản mạch chủ của mình để ngăn chặn hacker khai quật những lỗ hổng.