僵尸网络病毒TrickBot不仅卷土重来还变得更加难缠!研究人员发现骇客开始针对UEFI韧
体漏洞下手
https://www.ithome.com.tw/news/141610
被许多骇客组织滥用的僵尸网络TrickBot,今年10月上旬,才被微软联手多家资安业者与
电信业者,宣称阻断其关键基础设施,但该僵尸网络背后的攻击者不久就卷土重来,而且
手法还深入到UEFI与BIOS韧体的层次。
针对TrickBot的近期动态,在12月3日有2家资安公司联手揭露新的僵尸网络病毒功能模组
“TrickBoot”,相较于过往的TrickBot家族,新的模组会侦测攻击目标电脑的UEFI韧体
是否存在弱点,一旦找到可以滥用的漏洞,骇客就能从开机韧体层面来埋伏在受害电脑。
揭露此事的资安公司,分别是专精威胁情报的Advanced Intelligence(AdvIntel),以
及提供装置韧体安全的Eclypsium。前者曾于去年5月,一口气揭露3家防毒大厂程式码遭
骇的事件;而后者找出不少韧体层级的漏洞,例如,去年揭露8个厂牌服务器BMC韧体存在
漏洞,以及今年发布有关Grub2开机软件的BootHole漏洞细节等。而这次对于TrickBoot的
研究,AdvIntel与Eclypsium都在自己的部落格公布有关细节。
这2家资安公司会联手的原因,是AdvIntel在TrickBot基础设施遭到摧毁不久,发现了新
的攻击行动,而且攻击相当频繁,相关恶意软件曾创下最高1天感染4万台设备的记录,而
且,他们还发现新的TrickBot变种恶意软件,与该家族的病毒有所不同的是,它似乎针对
受害电脑的韧体而来。
根据Advanced Intelligence侦测到10月初到11月下旬受到TrickBot感染的电脑数量,单
日最多有近4万台电脑遭到感染,而在时间点的部分,疑似正好就发生在微软宣布切断
TrickBot基础架构运作的10月12日之后。
TrickBot攻击的范围几乎可说是全球各地,而其中较为严重的地区,包含了美国华盛顿、
阿拉伯联合酋长国,以及希腊等。
对于这个不寻常的TrickBot变种病毒,AdvIntel寻求专门提供装置韧体防护的Eclypsium
,来共同分析所发现的恶意软件。结果发现,这次TrickBot恶意软件所出现的新模组,会
侦测受害电脑采用的中央处理器型号,然后比对是否存在可被滥用的漏洞,以便攻击者对
于电脑的UEFI或BIOS韧体下手,读取、写入,或者是清除。这2家公司将这个模组命名为
“TrickBoot”。
AdvIntel和Eclypsium指出,TrickBoot能够侦察的范围,涵盖几乎所有自2014年以来采用
Intel处理器的电脑,并且检查其UEFI或BIOS韧体,是否存在可被攻击的弱点。同时,该
恶意程式模组也会侦测SPI快闪存储器的BIOS写入防护机制状态。
严格来说,TrickBoot并不具备直接窜改电脑韧体的功能。但为何这样的模组引起这2家资
安公司的重视?主要原因是骇客企图从电脑韧体下手,而这样的攻击难以被发现及防范,
即使受害者想要清除骇客的工具,仅有更新电脑主机板的SPI快闪存储器一途,而无法藉
由重新安装作业系统的方式处理。
另一个原因,则是这个TrickBot模组已有读写UEFI韧体的能力,甚至能够执行抹除韧体的
工作,这样的特性是AdvIntel和Eclypsium从TrickBoot的程式码解析而来。在此之前,被
发现具备这种能力的恶意软件并不多,仅有ESET于2018年发现的LoJax,以及今年10月被
卡巴斯基揭露的MosaicRegressor。因此他们认为,TrickBoot的出现,影响的层面会相关
广,不只造成企业重大风险,很可能还会波及国家安全。
========
快升级!