ESET 发现第一个 UEFI rootkit 恶意程式 LoJax,感染后连重灌系统也没辙
R.F. 发表于 2018年9月28日 09:00 2018-09-28
电脑系统底层 UEFI 已被多次证实能够透过特殊手法,写入恶意程式感染系统,但发现实际案例却还是第一次。ESET 近日发现 LoJax UEFI rootkit 恶意程式,目前正瞄准巴尔干半岛、中欧、东欧进行攻击,一旦感染仅有重新烧录 UEFI 才可解除。
rootkit 一词由 root 和 kit 2 者结合而来,由名称即可认知其所代表的意义,为一系列软件集合用来存取一般软件无法存取的区域,诸如核心内存、系统管理模式内存等。由于 rootkit 活动区域无法由一般软件存取之,需要透过特别的扫描辨识程式才可以找到它的存在。
UEFI 具备漏洞可让恶意程式侵入已不是新闻,在白帽骇客相关聚会早有实作入侵手段,但在实验室以外发现却还是第一次。ESET 公布它们发现到的第一支 UEFI rootkit 恶意程式,由于这支程式采用 LoJack for Laptops 的代理程式,ESET 将其命名为 LoJax。
LoJack for Laptops 前身为 CompuTrace,主要是用来追踪被小偷劫走的电脑,而烧录在电脑韧体里的小程式。由于位在电脑开机必须的韧体之内,小偷没有办法透过一般替换硬盘储存装置的手段轻松移除,电脑开机后便会将此电脑所在区域相关资料回传。不过此实作概念亦被有心人士利用,瞄准的就是韧体感染不易察觉并移除的特性。
LoJax 主要利用 RWEverything 内建核心驱动程式 RwDrv.sys 读取 UEFI 相关设定,驱动程式经过合法的签署手续,因此不会引起作业系统的注意。LoJax 接着利用 3 个不同的工具达成目标,首先扫描低阶系统设定,以便根据设定拟定入侵策略,依据不同平台选择不同的方式跳过非法韧体写入防护机制;接着把 UEFI 韧体档案读取出来,最后 1 个工具插入恶意 UEFI 模组至韧体当中并写回。
一旦 UEFI 遭受到感染,恶意程式即在 Windows 早期开机阶段写入 rpcnetp.exe 和 autoche.exe,并将原始注册机码 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
Session Manager\BootExecute 的 autocheck autochk *修改成 autocheck autoche *,以便开机时执行恶意程式。
autoche.exe 接着把 rpcnetp.exe 注册成 Windows 服务,虽然目前 ESET 并未发现 rpcnetp.exe 有近一步动作,不过这个程式包含下载与安装其它程式模组的机制,因此在未来依旧可以执行其它恶意行为。
ESET 同时提出解决方案,第一个为开启 UEFI Secure Boot 机制,强迫开机加载的每个模组均需要合法的签名,第二个就是更新至最新的 UEFI 版本。此外 LoJax 也不影响 Intel 5 系列 PCH 芯片组之后的产品(注:BIOSWE 和 BIOSBLE 需正确设定成 0 和 1),原因为第一张图导入的 SMM BIOS Write Protect Disable 功能。目前在消费市场当中,使用 Intel 5 系列芯片组(处理器 Core i 世代)以前的电脑并不多,但在政府机关依旧存在为数不少的旧电脑。
https://www.techbang.com/posts/61493-eset-discovers-the-first-uefi-rookit-malware-lojax-and-the-infected-post-heavy-irrigation-system