防盗软件遭改造为UEFI Rootkit恶意程式,入侵主机板韧体且难以移除
文/李建兴 | 2018-10-01发表
资安厂商Eset发现Sednit APT骇客集团使用称为LoJax的UEFI Rootkit恶意程式,对巴尔
干半岛、中欧和东欧的部分政府组织发动攻击。Eset表示,这是第一次发现野生的UEFI
Rootkit,而且除非靠刷新主机板SPI快闪存储器,否则没有任何简单的方法可以排除。
这个称为LoJax的UEFI Rootkit恶意程式,前身为LoJack的防盗软件,更早期的软件名称
为Computrace。一旦Computrace服务被启用,便会回呼其C&C服务器,当安装Computrace
的电脑遭窃,拥有者便能获取通知,知道电脑的所在位置。由于Computrace为了要避免系
统被盗后,以重新安装或是更换硬盘的方法被移除,因此实作了UEFI模组,使其能够在这
些情况下留存下来。这个软件被预先安装在各种由OEM厂商制造的笔记型电脑的韧体中,
等待使用者启用,不过,也因为Computrace不寻常的耐久性方法,引起了安全社群的注意
。
在今年5月的时候,Arbor Networks发现了几只被木马化的LoJack代理程式,由于这些程
式与恶意C&C服务器连线,而非Absolute Software官方合法的服务器连线,因此被认为是
经过改造的恶意程式。Eset提到,在他们发现的UEFI Rootkit样本中,有一些域名已经于
2017年底,被用在Sednit集团SedUploader后门程式的C&C服务器,而这次由于是LoJack
代理程式的恶意使用,因此称为LoJax。
Eset表示,UEFI Rootkit是非常危险的恶意程式,因为不只难以检测,而且能在多种安全
措施中存活下来,多数的UEFI Rootkit都只是概念性验证,在之前没有任何的野生UEFI
Rootkit被侦测过,直到最近他们从受害者的电脑中,找到成功部署的UEFI Rootkit恶意
程式。这个事件有两个值得注意的重点,首先,UEFI Rootkit不再只是传说,而是真正的
威胁。第二,这波行动可能只是Sednit APT骇客集团的一个起头,对于Sednit瞄准的对象
是一个警示。目前Eset发现,LoJax正被用来对巴尔干半岛、中欧和东欧的部分政府组织
发动攻击。
根据Eset的调查,他们确定骇客已经成功将UEFI模组写入系统SPI快闪存储器中,其模组
能够在系统开机程序中执行恶意程式,而且除非刷新UEFI韧体否则无法清除,但是一般使
用者鲜少进行这样的动作。Eset提到,Sednit的UEFI Rootkit并没有适当的签章,因此安
全启动(Secure Boot)机制是可以阻止这类攻击的,当启用安全启动后,所有韧体的元
件被加载时,都需要正确的签章,这能对UEFI韧体攻击进行最基本防御。
在必要的时候,更新系统韧体也会是一个选项,确保主机板使用最新版本的UEFI,可以减
少因为韧体漏洞,产生未经授权写入的机会。Eset提到,要修复基于UEFI的感染并非简单
的事,现在没有自动的方法可以移除该恶意程式,受害者必须要以安全的韧体映像档刷新
SPI快闪存储器才行。另外,这个攻击影响较旧的芯片组,因此确保关键系统使用2008年
后,英特尔5系列内建Platform Controller Hub的更新芯片组,也能避免遭受攻击。
https://www.ithome.com.tw/news/126208
至少这十年内的主机应该是不会有什么影响啦
不过与当时的CIH相比好像又有一点人性了。至少不是把整个EFI韧体洗掉连开机都不行了