僵尸网络病毒TrickBot不仅卷土重来还变得更加难缠！研究人员发现骇客开始针对UEFI韧
体漏洞下手
https://www.ithome.com.tw/news/141610
被许多骇客组织滥用的僵尸网络TrickBot，今年10月上旬，才被微软联手多家资安业者与
电信业者，宣称阻断其关键基础设施，但该僵尸网络背后的攻击者不久就卷土重来，而且
手法还深入到UEFI与BIOS韧体的层次。
针对TrickBot的近期动态，在12月3日有2家资安公司联手揭露新的僵尸网络病毒功能模组
“TrickBoot”，相较于过往的TrickBot家族，新的模组会侦测攻击目标电脑的UEFI韧体
是否存在弱点，一旦找到可以滥用的漏洞，骇客就能从开机韧体层面来埋伏在受害电脑。
揭露此事的资安公司，分别是专精威胁情报的Advanced Intelligence（AdvIntel），以
及提供装置韧体安全的Eclypsium。前者曾于去年5月，一口气揭露3家防毒大厂程式码遭
骇的事件；而后者找出不少韧体层级的漏洞，例如，去年揭露8个厂牌服务器BMC韧体存在
漏洞，以及今年发布有关Grub2开机软件的BootHole漏洞细节等。而这次对于TrickBoot的
研究，AdvIntel与Eclypsium都在自己的部落格公布有关细节。
这2家资安公司会联手的原因，是AdvIntel在TrickBot基础设施遭到摧毁不久，发现了新
的攻击行动，而且攻击相当频繁，相关恶意软件曾创下最高1天感染4万台设备的记录，而
且，他们还发现新的TrickBot变种恶意软件，与该家族的病毒有所不同的是，它似乎针对
受害电脑的韧体而来。
根据Advanced Intelligence侦测到10月初到11月下旬受到TrickBot感染的电脑数量，单
日最多有近4万台电脑遭到感染，而在时间点的部分，疑似正好就发生在微软宣布切断
TrickBot基础架构运作的10月12日之后。
TrickBot攻击的范围几乎可说是全球各地，而其中较为严重的地区，包含了美国华盛顿、
阿拉伯联合酋长国，以及希腊等。
对于这个不寻常的TrickBot变种病毒，AdvIntel寻求专门提供装置韧体防护的Eclypsium
，来共同分析所发现的恶意软件。结果发现，这次TrickBot恶意软件所出现的新模组，会
侦测受害电脑采用的中央处理器型号，然后比对是否存在可被滥用的漏洞，以便攻击者对
于电脑的UEFI或BIOS韧体下手，读取、写入，或者是清除。这2家公司将这个模组命名为
“TrickBoot”。
AdvIntel和Eclypsium指出，TrickBoot能够侦察的范围，涵盖几乎所有自2014年以来采用
Intel处理器的电脑，并且检查其UEFI或BIOS韧体，是否存在可被攻击的弱点。同时，该
恶意程式模组也会侦测SPI快闪存储器的BIOS写入防护机制状态。
严格来说，TrickBoot并不具备直接窜改电脑韧体的功能。但为何这样的模组引起这2家资
安公司的重视？主要原因是骇客企图从电脑韧体下手，而这样的攻击难以被发现及防范，
即使受害者想要清除骇客的工具，仅有更新电脑主机板的SPI快闪存储器一途，而无法藉
由重新安装作业系统的方式处理。
另一个原因，则是这个TrickBot模组已有读写UEFI韧体的能力，甚至能够执行抹除韧体的
工作，这样的特性是AdvIntel和Eclypsium从TrickBoot的程式码解析而来。在此之前，被
发现具备这种能力的恶意软件并不多，仅有ESET于2018年发现的LoJax，以及今年10月被
卡巴斯基揭露的MosaicRegressor。因此他们认为，TrickBoot的出现，影响的层面会相关
广，不只造成企业重大风险，很可能还会波及国家安全。
========
快升级！