第三款UEFI恶意程式MoonBounce现身,格式化硬盘或重灌系统都拿它没辄
文/陈晓莉 | 2022-01-24发表
资安业者卡巴斯基(Kaspersky)上周揭露了自2018年以来、所出现的第三支UEFI
Bootkit:MoonBounce,由于它寄生在UEFI韧体中,因此就算重新格式化硬盘或重新安装
作业系统可能都无法移除它,也透露出UEFI Bootkit可能会愈来愈流行。
UEFI的全名为统一可延伸韧体接口(Unified Extensible Firmware Interface),是一
个介于平台韧体与作业系统之间的软件接口,它负责启动装置,再将控制权交给加载作业
系统的软件,至于Bootkit指的是在系统启动之际就植入的恶意程式。因此,一旦UEFI被
植入Bootkit,由于相关的程式码存放在硬盘之外的SPI快闪存储器,而且是在加载作业系
统之前就执行,使得它不仅很难侦测,就算重新安装作业系统或重新格式化硬盘,也都无
法移除它。
资安社群是在2018年9月发现首支名为LoJax的UEFI Bootkit,当时使用它的是俄罗斯骇客
集团APT28;第二支UEFI Bootkit是出现在2020年10月的MosaicRegressor,与中国骇客有
关;卡巴斯基则相信MoonBounce是由中国骇客集团APT41所部署。
目前卡巴斯基只发现一个遭到MoonBounce攻击的对象,尚未确定它的感染途径,但分析显
示,MoonBounce比它的前辈们更为先进与精细,有别于LoJax与MosaicRegressor都利用额
外的DXE驱动程式,MoonBounce选择窜改既有的韧体元件,把一个先前属于良性的核心元
件变成恶意元件,借由复杂的手法让恶意元件进入作业系统,以与远端的C&C服务器互动
,并下载其它恶意酬载,亦未留下任何的感染足迹。
MoonBounce自C&C服务器所下载的恶意酬载,包括Sidewalk、Microcin与另一个以Golang
撰写且尚未被命名的木马程式,以及用来窃取凭证或安全资讯的Mimikat_ssp。
根据资安社群的分析,迄今UEFI Bootkit攻击多半是为了于受害组织中横向移动并窃取资
料,再加上它的隐匿特性,猜测骇客的目的为持续性的间谍行动。
卡巴斯基建议组织应定期更新UEFI韧体且只使用可靠来源的韧体,于默认启用安全启动,
以及部署端点防护产品。
https://www.ithome.com.tw/news/149039