اگر Firmware (رابط کاربری) UEFI ویروسی شود چه اتفاقی می افتد؟

اگر Firmware (رابط کاربری) UEFI ویروسی شود چه اتفاقی می افتد؟

UEFI اگر ویروسی شود دیگر فقط هارد شما ویروسی نیست ونه تنها با تعویض ویندوز بلکه حتی اگر هارد کامپیوتر را هم عوض کنید باز هم ویروس از بین نمیرود.

UEFI rootkit یک روتکیت می باشد که در رابط متحد توسعه‌پذیر سیستم‌عامل اجرا میشود. یعنی در پایین ترین سطح ماشین (در سطح سخت افزار و خیلی پایین) به همین خاطر شناسایی آن بسیار مشکل می باشد و به همین دلیل است که اگر سیستمی به این ویروس آلوده شود حتی با تعویض هارد هم مشکل از بین نمیرود.جالب است بدانید ESET اولین شرکتی هست که قادر به شناسایی بد افزارهای UEFI بود و اولین آنتی ویروس است که مجهز به اسکنر UEFI شده که جذاب ترین امکان آنتی ویروس ESET می باشد.

خرید لایسنس eset internet security 16 : همانطور که گفته شد شرکت ESET موفق به کشف اولین UEFI rootkit در دنیا شد. ESET اولین محصول امنیتی در دنیا هست که توانسه قابلیت اسکن کردن UEFI را به سوئیت های خودش اضافه کند. در حال حاضر تعدادی بسیار محدودی از آنتی ویروس ها ( ESET  , Kaspersky , DrWeb ) از چنین قابلیتی برخودارند. قابلیت UEFI Scanner این امکان را به آنتی ویروس ESET میدهد که اگر فایلی بخواهد تغییراتی در UEFI Firmware ایجاد کند، اجرای فایل را مسدود، و شما را مطلع سازد.  توجه داشته باشید این نوع ویروس مستقیم بر روی سخت افزار مادربورد کار میکند و اگر بایوسی ویروسی شود هیچ آنتی ویروسی نمیتواند ویروس را نابود کند پس بهترین راه این است تا قبل از اینکه کامپیوتر به این نوع ویروس آلوده شود آنتی ویروسی که قابلیت اسکن UEFI باشد را حتما بر روی آن نصب کنید.

1- حتماً آنتی ویروسی که امکان اسکن UEFI را داشته باشد را روی سیستم خود نصب کنید. (در محصولات خانگی ESET ورژن های 11 و بالاتر و در محصولات تجاری Endpoint ورژن های 7 به بالا به اسکنر UEFI مجهز هستند.)

2- اگر از UEFI استفاده میکنید مطمئن شوید که در تنظیمات بایوس حالت Secure Boot را فعال کرده اید.

3- حتماً بایوس / BIOS مادربورد را بروز نگه دارید، برای دانلود بایوس میتوانید به وب سایت سازنده Motherboard مراجعه کنید.

 در صورت آلوده شدن به بدافزار UEFI چه کاری باید انجام داد؟

1- تلاش برای بازگرداندن حافظه SPI Flash، برای این کار باید به شرکت سازنده مادربورد اطلاع داده شود تا شاید! بتوانند مشکل را حل کنند. البته این کار در ایران تقریبا امری غیر ممکن است

2- مادربرد رایانه را تعویض کنید. شاید باورش سخت باشد اما اگر UEFI به بدافزار آلوده شود تنها راه حل تعویض مادربورد است.

Firmware نوعی نرم افزار است که دستورالعمل های عملکرد خود را به سخت افزار می دهد. این کار مواردی مانند گفتن نحوه بوت و نحوه تعامل با سیستم عامل را به رایانه انجام می دهد. اگر به درستی محافظت نشود، می تواند منجر به مشکلات عمده امنیت سایبری شود.

در واقع برنامه نرم افزاری یا مجموعه دستورات برنامه نویسی شده روی سخت افزار است. فریمور دستورات لازم برای اینکه دستگاه چگونه با دیگر اجزا و سخت افزارهای کامپیوتر ارتباط برقرار کند را ارائه می‌دهد.

به BIOS موجود در کامپیوتر خود فکر کنید: لحظه ای که کامپیوتر شما روشن است، به سیستم اصلی ورودی/خروجی (BIOS) مراجعه می کند تا دستورالعمل هایی را برای شروع کار مشاهده کند و جریان داده بین اجزای سخت افزاری و سیستم عامل را مدیریت می کند. برای لوازم الکترونیکی اولیه (مانند تلویزیون)، Firmware می تواند کل سیستم عامل آن باشد.

اکثر دستگاه های الکترونیکی دارای Firmware هستند که می توانند در طول زمان به روز شوند تا مشکلات را برطرف کرده یا عملکرد را ارتقا دهند. این یکی از عوامل اصلی هک Firmware است. اگر می توانید به Firmware دستگاه دسترسی پیدا کنید، پس می توانید دستورالعمل های مورد نظر خود را در آن وارد کرده و تنظمیمات آن را تغییر دهید.

عاملی که حمله Firmware بدتر می کند این است که هنگامی که این حمله Firmware صورت می گیرد، حذف آن بسیار دشوار است. حمله Firmware در حال تبدیل‌ شدن به یکی از اهداف محبوب عاملان تهدید است؛ دلیل آن هم این است که معمولا اطلاعات حساسی مانند اطلاعات هویتی یا کلیدهای رمزگذاری را در خود دارد.

مایکروسافت اخیرا گزارشی با عنوان «» منتشر کرد که در آن اذعان شده بیش از 80% از سازمان‌های بین‌المللی قربانی حداقل یک حمله‌ firmware طی دو سال اخیر شده‌اند. این مطالعه عنوان کرده که تنها 29% درصد از سازمان‌های هدف قرارگرفته برای محافظت از firmware بودجه اختصاص داده‌اند.

موسسه ملی استاندارد و فناوری () همچنین طی چهار سال گذشته افزایش پنج برابری حمله firmware را نشان داده است. از نظر کارشناسان امنیت سایبری این نوع از حمله Firmware به عنوان “پیشرفته” ترین نوع حمله به شمار می رود که البته خیلی به آن توجه نمی شود.

اکثر حملات Firmware به شکل بدافزار است، یک اصطلاح گسترده برای نرم افزارهای مخرب که برای بهره برداری از هر چیزی که قابل برنامه ریزی است طراحی شده است.

تقریباً شش سال پیش محققان فاش کردند که تقریباً تمام BIOS های کامپیوتر دارای کد مشترک هستند. این بدان معناست که فقط یک بدافزار می تواند به طور بالقوه ده ها میلیون سیستم مختلف را تحت تأثیر قرار دهد. هکرها با سوء استفاده از برخی از آسیب پذیری ها توانستند یک اسکریپت ساده بنویسند تا BIOS یک کامپیوتر آسیب پذیر “بازسازی” شود و دستورالعمل های خود را تزریق کنند. هکرها همچنین می توانند به رابط کاربری Firmware دستگاه دسترسی پیدا کنند.

عوامل متعددی باعث جذاب شدن Firmware به عنوان هدفی برای هکرها می شود. و همانطور که معمولاً در مورد حملات اتفاق می افتد، هنگامی که یکی از هکرها فضای مساعد جدیدی را تشخیص می دهد ، دیگران نیز به این فضا می پیوندند.

توجه به Firmware تا حد زیادی زمانی افزایش یافت که یک rootkit برای جاسوسی سایبری در سال 2018 شناسایی شد. به جای حمله به سیستم عامل یا نرم افزار، این سیستم برای بهره برداری از رابط یکپارچه نرم افزار توسعه پذیر (UEFI) یک دستگاه طراحی شده است.

این روت کیت “Lojax” لقب گرفت و با ابزارهای دیگری بسته شد که Firmware سیستم را با بدافزار آلوده می کرد. برخی از کارهایی که برای انجام آن طراحی شده است عبارتند از:

Firmware مشکل دید دارد. این عمدتاً به این دلیل است که سازندگان کامپیوتر و دستگاه ها دید کاربر را در لایه Firmware ایجاد نمی کنند. از آنجا که Firmware چنین اطلاعات حیاتی را به سیستم ها ارائه می دهد، این چیزی نیست که اکثر تولیدکنندگان بخواهند کاربران با آن درگیر شوند، با این حال نداشتن دید به هکرها اجازه می دهد تا در آن لایه آزادانه پرسه بزنند.

مواردی مانند آنتی ویروس/ضد بدافزار که در داخل سیستم عامل قرار دارند، معمولاً در لایه Firmware قابل مشاهده نیستند. بنابراین، آنها نمی توانند حمله Firmware را تشخیص دهند. بنابراین، هکرها اغلب می توانند حملات مداومی را انجام دهند که ماه ها یا حتی سال ها ادامه دارد.

Firmware اغلب به روز نمی شود. به روز رسانی Firmware برای مواردی مانند کامپیوتر، ، و سایر دستگاه های اینترنت اشیا (IOT) اغلب نادیده گرفته می شود. به روزرسانی های Firmware اغلب اتفاق نمی افتد و معمولاً هشداری برای به روزرسانی به شما نمی دهد.

منبع : niknod