تصدرت البرامج الضارة الجديدة عناوين الأخبار خلال الأيام القليلة الماضية.
الجذور الخفية ، التي تم تحديدها على أنها Moonbounce ، هي برنامج ضار دائم يمكنه الصمود في وجه تنسيقات محرك الأقراص وعمليات إعادة تثبيت نظام التشغيل.
هذا ليس حصان طروادة أو فيروس عادي يؤثر على Windows ، إنه مجموعة تمهيد معقدة تستهدف البرامج الثابتة للوحة الأم ، واجهة البرامج الثابتة القابلة للتوسيع المتحدة ، والتي يشار إليها عادة باسم UEFI. يسمح هذا للبرامج الضارة بالصمود أمام التغييرات التي تم إجراؤها على القرص الصلب أو نظام التشغيل.
تحتوي اللوحة الأم على شريحة تخزين خاصة بها تسمى ذاكرة فلاش. يحتوي فلاش SPI هذا على البرنامج المطلوب لبدء الاتصال ببقية الأجهزة والتواصل معها.
يقول تقرير صادر عن Kaspersky أن برنامج Moonbounce الضار تم إنشاؤه بواسطة مجموعة قراصنة تدعى APT41.
تشير CSOOnline إلى أن المجموعة يشتبه في أن لها علاقات مع الحكومة الصينية. شاركت مجموعة التجسس السيبراني سيئة السمعة أيضًا في حملات الجرائم الإلكترونية حول العالم لمدة عقد من الزمان.
يلاحظ صانع برامج مكافحة الفيروسات الروسي أنه تم رصد مجموعة التمهيد الخاصة بالبرامج الثابتة لأول مرة في ربيع عام 2021 ، وأنها أكثر تقدمًا من البرنامجين الضارين السابقين من نوعه ، LoJax و MosaicRegressor.
ومع ذلك ، تم العثور على البرنامج الضار الجديد مرة واحدة فقط حتى الآن.
ملاحظة: يشير العديد من الأشخاص ، وحتى مصنعي المعدات الأصلية ، إلى UEFI على أنه BIOS ، في حين أنهم مختلفون تقنيًا ووظيفيًا ، فإن الأخير هو المصطلح الأكثر شيوعًا لأنه كان موجودًا لفترة أطول.
أطلق عليه ما شئت ، لكن كلا المصطلحين يتعلقان بالواجهة المستخدمة للوصول إلى إعدادات البرامج الثابتة الخاصة باللوحة الأم وتعديلها.
كيف يتمكن Moonbounce من الوصول إلى UEFI؟
يستهدف Moonbounce CORE_DXE في البرنامج الثابت ، ويعمل عند بدء تسلسل التمهيد UEFI. ثم يعترض البرنامج الضار وظائف معينة لزرع نفسه في نظام التشغيل ، والهواتف التي يوجد بها خادم قيادة وتحكم. ينتج عن هذا بعد ذلك حمولة ضارة يتم تسليمها عن بُعد ، لتحييد أمان النظام.
يحدث الهجوم عندما يتم تعديل أحد مكونات البرامج الثابتة بواسطة البرنامج الضار. يمكن للمتسللين استخدامه للتجسس على المستخدمين ، وأرشفة الملفات ، وجمع معلومات الشبكة ، وما إلى ذلك.
ومن المثير للاهتمام ، أن تقرير Kaspersky يذكر أنه لم يكن قادرًا على تتبع الإصابة على القرص الصلب ، مما يعني أنه يعمل في الذاكرة دون الاعتماد على الملفات.
قد يكون من الصعب إزالة مجموعة أدوات الجذر UEFI نظرًا لأن برامج مكافحة الفيروسات غير فعالة خارج نظام التشغيل ، ولكن ليس من المستحيل إزالة مثل هذه الإصابات من اللوحة الأم.
كيف يتم منع الجذور الخفية UEFI؟
هناك عدة طرق بسيطة لمنع برامج UEFI الضارة مثل Moonbounce ، والخطوة الأولى هي تمكين
Secure Boot. هل يمكن أن يكون هذا هو السبب الذي جعل Microsoft تجعل TPM 2.0 مطلبًا لنظام التشغيل
Windows 11؟ إليك مقطع فيديو (
هنا) ذي صلة حيث يوضح خبير أمان Microsoft أهمية UEFI و Secure Boot و TPM وما إلى ذلك ، وكيف أنها فعالة في مكافحة البرامج الضارة.
ستؤدي إضافة كلمة مرور للوصول إلى UEFI إلى حظر تحديثات البرامج الثابتة غير المصرح بها ، مما يمنحك طبقة إضافية من الحماية.
إذا لم تقم بتمكين التمهيد الآمن أو كلمة المرور ، على سبيل المثال ، إذا سارت الأمور جنوبًا ، فيمكنك دائمًا إعادة تحميل ملفات UEFI للتخلص من البرامج الضارة المزعجة. نصيحة مجاملة:
redditانتقل إلى موقع الشركة المصنعة للوحة الأم (أو الكمبيوتر المحمول) وابحث عن الطراز المحدد الذي لديك ، وتحقق مما إذا كان يحتوي على إصدار محدث يمكنك تحديثه.
تحقق مرة أخرى من المعلومات لمعرفة ما إذا كان نموذج اللوحة الأم يطابق النموذج الموجود على موقع الويب ، لأن وميض البرامج الثابتة الخاطئة يمكن أن يعيق نظامك.
يجب أيضًا تجنب استخدام برامج تحديث برنامج التشغيل ، وبدلاً من ذلك الاعتماد على تحديثات Windows وموقع البائع الخاص بك لتحديث برامج التشغيل.
صفحات
تعليقات