网络安全研究人员发现了首个UEFI Rootkit

ESET的网络安全研究人员公布了他们声称的第一个在野外使用的UEFI rootkit，允许黑客在目标计算机上植入持久性恶意软件，这些恶意软件可以在完整的硬盘驱动器擦除后继续存在。 被称为LoJax的UEFI rootkit是臭名昭着的Sednit集团（也称为APT28，Fancy Bear，Strontium和Sofacy）进行的恶意软件活动的一部分，目标是巴尔干以及中欧和东欧的几个政府组织。 至少在2007年开始运营，Sednit集团是一个由国家赞助的黑客组织，据信是俄罗斯秘密军事情报机构GRU（General Staff Main Intelligence Directorate）的一个部门。黑客组织与许多引人注目的攻击有关，包括美国2016年总统大选前的DNC黑客攻击。 UEFI或统一可扩展固件接口是传统BIOS的替代品，是计算机的核心和关键固件组件，它在启动时链接计算机的硬件和操作系统，用户通常无法访问。

LoJax UEFI Rootkit如何工作？

根据ESET研究人员的说法，LoJax恶意软件能够将恶意UEFI模块写入系统的SPI闪存，允许BIOS固件在启动过程中在计算机磁盘内部安装和执行恶意软件。

“这个修补工具使用不同的技术来滥用错误配置的平台或绕过平台SPI闪存写保护，”ESET研究人员在今天发表的博客文章中说。

由于LoJax rootkit驻留在受损的UEFI固件中并在操作系统启动之前重新感染系统，因此重新安装操作系统，格式化硬盘，甚至更换新硬盘都不足以清除感染。 使用合法软件刷新受损固件是删除此类rootkit恶意软件的唯一方法，对于大多数计算机用户而言，这通常不是一项简单的任务。

LoJax于2017年初首次发现，是Absolute Software公司的一款受欢迎的合法LoJack笔记本电脑防盗软件，该软件将其代理安装到系统的BIOS中，以便在操作系统重新安装或驱动器更换后生效，并通知设备所有者其位置笔记本电脑被盗的情况。 根据研究人员的说法，黑客稍微修改了LoJack软件，以获得覆盖UEFI模块的能力，并改变了与Absolute Software服务器通信的后台进程，向Fancy Bear的C＆C服务器报告。 在分析了LoJax样本后，研究人员发现威胁演员使用一个名为“ReWriter_binary”的组件来重写易受攻击的UEFI芯片，用他们的恶意代码替换供应商代码。

“我们可以恢复的所有LoJax小代理样本都是对Computrace小代理rpcnetp.exe完全相同的合法样本进行木马化。它们都具有相同的编译时间戳，只有几十个字节与原始版本不同，”ESET研究人员说过。 “除了对配置文件的修改外，其他更改还包括指定C＆C服务器连接间隔的计时器值。”

LoJax并不是第一个隐藏在UEFI芯片中的代码，因为2015年黑客团队的泄密事件显示臭名昭着的间谍软件制造商提供了UEFI持久性的产品。 此外，去年维基解密泄露的一份CIA文件明确了解了该机构用于在Apple Mac设备上获得“持久性”的技术，包括Mac和iPhone，展示了他们对EFI / UEFI和固件恶意软件的使用。 然而，根据ESET，其研究人员发现的LoJax rootkit安装是有史以来第一次在野外活动的UEFI rootkit。

如何保护您的计算机免受Rootkit的侵害

正如ESET研究人员所说，没有简单的方法可以自动从系统中删除此威胁。 由于UEFI rootkit未正确签名，因此用户可以通过启用安全启动机制来保护自己免受LoJax感染，从而确保系统固件加载的每个组件都使用有效证书进行了正确签名。 如果您已经感染了此类恶意软件，则删除rootkit的唯一方法是使用特定于主板的干净固件映像重新刷新SPI闪存，这是一个非常精细的过程，必须手动并仔细执行。 替换重新刷新UEFI / BIOS，您可以直接更换受损系统的主板。

研究人员写道：“LoJax活动表明，高价值目标是部署罕见甚至是独特威胁的主要候选人。这些目标应始终注意妥协的迹象。”

有关LoJax root的更深入细节，您可以访问ESET研究人员周四发表的白皮书[ PDF ]，标题为“LoJax：野外发现的第一个UEFI rootkit，由Sednit小组提供”。