网络安全研究人员发现了首个UEFI Rootkit

ESET的网络安全研究人员公布了他们声称的第一个在野外使用的UEFI rootkit,允许黑客在目标计算机上植入持久性恶意软件,这些恶意软件可以在完整的硬盘驱动器擦除后继续存在。 被称为LoJax的UEFI rootkit是臭名昭着的Sednit集团(也称为APT28,Fancy BearStrontiumSofacy)进行的恶意软件活动的一部分,目标是巴尔干以及中欧和东欧的几个政府组织。 至少在2007年开始运营,Sednit集团是一个由国家赞助的黑客组织,据信是俄罗斯秘密军事情报机构GRU(General Staff Main Intelligence Directorate)的一个部门。黑客组织与许多引人注目的攻击有关,包括美国2016年总统大选前的DNC黑客攻击。 UEFI或统一可扩展固件接口是传统BIOS的替代品,是计算机的核心和关键固件组件,它在启动时链接计算机的硬件和操作系统,用户通常无法访问。

LoJax UEFI Rootkit如何工作?

根据ESET研究人员的说法,LoJax恶意软件能够将恶意UEFI模块写入系统的SPI闪存,允许BIOS固件在启动过程中在计算机磁盘内部安装和执行恶意软件。

“这个修补工具使用不同的技术来滥用错误配置的平台或绕过平台SPI闪存写保护,”ESET研究人员在今天发表的博客文章中说。

由于LoJax rootkit驻留在受损的UEFI固件中并在操作系统启动之前重新感染系统,因此重新安装操作系统,格式化硬盘,甚至更换新硬盘都不足以清除感染。 使用合法软件刷新受损固件是删除此类rootkit恶意软件的唯一方法,对于大多数计算机用户而言,这通常不是一项简单的任务。

LoJax于2017年初首次发现,是Absolute Software公司的一款受欢迎的合法LoJack笔记本电脑防盗软件,该软件将其代理安装到系统的BIOS中,以便在操作系统重新安装或驱动器更换后生效,并通知设备所有者其位置笔记本电脑被盗的情况。 根据研究人员的说法,黑客稍微修改了LoJack软件,以获得覆盖UEFI模块的能力,并改变了与Absolute Software服务器通信的后台进程,向Fancy Bear的C&C服务器报告。 在分析了LoJax样本后,研究人员发现威胁演员使用一个名为“ReWriter_binary”的组件来重写易受攻击的UEFI芯片,用他们的恶意代码替换供应商代码。

“我们可以恢复的所有LoJax小代理样本都是对Computrace小代理rpcnetp.exe完全相同的合法样本进行木马化。它们都具有相同的编译时间戳,只有几十个字节与原始版本不同,”ESET研究人员说过。 “除了对配置文件的修改外,其他更改还包括指定C&C服务器连接间隔的计时器值。”

LoJax并不是第一个隐藏在UEFI芯片中的代码,因为2015年黑客团队的泄密事件显示臭名昭着的间谍软件制造商提供了UEFI持久性的产品。 此外,去年维基解密泄露的一份CIA文件明确了解了该机构用于在Apple Mac设备上获得“持久性”的技术,包括Mac和iPhone,展示了他们对EFI / UEFI和固件恶意软件的使用。 然而,根据ESET,其研究人员发现的LoJax rootkit安装是有史以来第一次在野外活动的UEFI rootkit。

如何保护您的计算机免受Rootkit的侵害

正如ESET研究人员所说,没有简单的方法可以自动从系统中删除此威胁。 由于UEFI rootkit未正确签名,因此用户可以通过启用安全启动机制来保护自己免受LoJax感染,从而确保系统固件加载的每个组件都使用有效证书进行了正确签名。 如果您已经感染了此类恶意软件,则删除rootkit的唯一方法是使用特定于主板的干净固件映像重新刷新SPI闪存,这是一个非常精细的过程,必须手动并仔细执行。 替换重新刷新UEFI / BIOS,您可以直接更换受损系统的主板。

研究人员写道:“LoJax活动表明,高价值目标是部署罕见甚至是独特威胁的主要候选人。这些目标应始终注意妥协的迹象。”

有关LoJax root的更深入细节,您可以访问ESET研究人员周四发表的白皮书[ PDF ],标题为“LoJax:野外发现的第一个UEFI rootkit,由Sednit小组提供”。

  • 发表于:
  • 原文链接https://thehackernews.com/2018/09/uefi-rootkit-malware.html

扫码关注云+社区

领取腾讯云代金券