LoJax-aanval voorkomen: dit moet je weten

LoJax, zo heet een nieuw type malware dat voor veel problemen kan zorgen. Het grootste gevaar? Het virus overleeft een herinstallatie van het besturingssysteem én vervanging van de harde schijf. Hoe voorkom je een LoJax-aanval? En wat doe je als je toch getroffen bent?

In het najaar van 2018 maakte ESET, een beveiligingsbedrijf in de IT-sector, het bestaan bekend van een UEFI-rootkit die op meerdere plaatsen in de wereld slachtoffers bleek te hebben gemaakt.

Een UEFI-rootkit maakt gebruik van zwakheden in de firmware. Eenmaal geïnfecteerd is het bijzonder lastig om de software van een machine te verwijderen. In het ernstigste geval kan het ertoe leiden dat het complete moederbord vervangen moet worden.

Wat is UEFI?

AdvertorialDe toekomst van het nieuwe werken

Technisch gezien is UEFI een specificatie die wordt onderhouden door het Unified Extensible Firmware Interface Forum (uefi.org). UEFI is een specificatie voor de interface tussen besturingssystemen van personal computers en platformfirmware.

Het bestaat uit gegevenstabellen die platformgerelateerde informatie bevatten, plus opstart- en runtime-serviceaanvragen die beschikbaar zijn voor het besturingssysteem en zijn bootloader. Zonder op meer technische details in te gaan, heeft UEFI heel wat functionaliteit aan het opstartproces toegevoegd, inclusief enkele serieuze beveiligingsmaatregelen.

Hoe werkt een LoJax-aanval?

Desalniettemin zijn kwaadwillenden erin geslaagd malware te ontwikkelen die het UEFI weten te infecteren. Een van de kenmerken van de zogenoemde LoJax UEFI rootkit is een getrapte installatie: eerst wordt een NTFS-driver geïnstalleerd, die twee bestanden naar de Windows NTFS-partitie schrijft. Vervolgens wordt de BootExecute registersleutel gewijzigd.

Van de twee bestanden die naar de NTFS-partitie worden geschreven (autoche.exe en rpcnetp.exe), lijkt de eerste qua naamgeving bedrieglijk veel op het authentieke Microsoft Windows bestand autochk.ex, terwijl het andere bestand exact dezelfde naam heeft als de bestandsnaam van het anti-diefstalprogramma LoJack. Om die reden heeft de malware van deze UEFI-rootkit de naam LoJax gekregen.

Een uitgebreide beschrijving van de werking van deze malware is te vinden in de LoJax UEFI Rootkit Overview van HP.

Stappenplan Secure Boot installeren

Een van de eerste maatregelen om een Lojax-aanval te voorkomen, is dan ook Secure Boot te activeren. Of dat al het geval is, kun je vrij snel controleren:

  1. Druk op Windows-knop+R en type als opdracht msinfo32 in.
  2. In de rubriek Systeemoverzicht zie je vervolgens bij Status beveiligd opstarten het volgende staan: Ingeschakeld, Uitgeschakeld of Niet ondersteund.

Voer de volgende stappen uit als Secure Boot niet is ingeschakeld:

  1. Benader bij het opstarten het BIOS/UEFI configuratiescherm. In de meeste gevallen zal dat BIOS setup (F10) zijn.
  2. Selecteer het Advanced tabblad en selecteer vervolgens op die pagina Secure Boot Configuration.
  3. Klik op het Configure Legacy Support and Secure Boot drop-downmenu en selecteer dan Legacy Support Disable and Secure Boot Enable om Secure Boot in te schakelen. Let op: als Secure Boot al geactiveerd is, dan staat er in plaats van het bovenstaande Legacy Support Enable and Secure Boot Disable en is er geen actie nodig.
  4. Nadat je Secure Boot hebt ingeschakeld, selecteer je het Main tabblad, selecteer Save Changes and Exit.
  5. Klik op Yes om de wijziging te bevestigen.

Extra ingebouwde beveiligingslaag

Windows-computers uitgerust met HP Sure Start kunnen de installatie van de LoJax UEFI rootkit voorkomen. Met deze security-feature is het zelfs mogelijk een systeem te herstellen dat door de malware is aangevallen.

Sure Start detecteert de aanvaller nog voordat het programma kan worden uitgevoerd en herstelt de UEFI in zijn oorspronkelijke staat. De aanval wordt ook in het HP Sure Start Event log genoteerd.

Additioneel stappenplan tegen LoJax-aanval

Omdat niet valt uit te sluiten dat de makers van malware varianten op de LoJax Rootkit ontwikkelen, zijn de volgende additionele stappen ook nodig:

  1. De UEFI firmware moet altijd up-to-date zijn. Sommige moederbordfabrikanten hebben daarvoor een geautomatiseerd systeem, maar het kan geen kwaad bij de fabrikant te controleren of dat ook voor jouw moederbord geldt.
  2. Controleer of de chipset van recente datum is. Oudere Intel-systemen bevatten bijvoorbeeld de mogelijkheid om het BIOS te omzeilen.
  3. Verzeker je er ook van dat de leverancier van het UEFI/BIOS ingebouwde beveiliging heeft. Via OPENSEC kun je dat controleren.

Allerlaatste optie: moederbord vervangen

Tot slot: een eenmaal geïnfecteerd systeem is niet makkelijk te herstellen. Zoals hierboven al beschreven, hebben HP-technici een test uitgevoerd met HP Sure Start nog vóórdat de LoJax UEFI Rootkit was geactiveerd. Als reflashing van de chipset niet mogelijk is, blijft als enige andere mogelijkheid over de vervanging van het moederbord.

Benieuwd waar je nog meer op moet letten als je veilig mobiel wilt werken? Download het gratis whitepaper met 8 securitytips voor het nieuwe werken. En lees ook: