签名驱动程序打开对firmware的访问

跟踪网络间谍组操作的安全研究人员发现了第一个证据表明在外界使用统一可扩展固件接口(UEFI)的rootkit。

在名为Sednit,Fancy Bear,APT28,Strontium和Sofacy之类的信息安全社区中,威胁行为者能够将恶意组件写入机器的UEFI固件。

根据ESET,威胁行为者将rootkit嵌入到目标计算机的SPI闪存模块中,这不仅可以防止重新安装操作系统,而且还可以替换硬盘驱动器。

在 今年早些时候发现的LoJack防盗软件的恶意样本之后,研究人员将rootkit命名为rootkit LoJax 。合法软件的劫持操作也是ATP28的工作。

“在LoJax活动所针对的系统上,我们发现了各种能够访问和修补UEFI / BIOS设置的工具,”ESET在与BleepingComputer共享的报告中说。

签名驱动程序可以打开固件访问权限

安全研究人员解释说,他们在受害者的计算机上发现了三种不同类型的工具。其中两个负责收集有关系统固件的详细信息,并通过读取UEFI固件所在的SPI闪存模块来创建系统固件的副本。

第三个注入恶意模块并将受损固件写回SPI闪存,从而为恶意软件创建持久性。

要达到UEFI / BIOS设置,所有工具都使用RWEverything 工具的内核驱动程序,该工具允许修改几乎所有硬件的固件中的设置。驱动程序使用有效证书进行签名。

“这个修补工具使用不同的技术来滥用错误配置的平台或绕过平台SPI闪存写保护,”ESET说。

如果拒绝写入操作,恶意工具会利用UEFI(CVE-2014-8273)中一个为期四年的竞争条件漏洞来绕过防御。

rootkit的目的只是将恶意软件放入Windows操作系统,并确保它在启动时执行。

抵御LoJax UEFI rootkit

通过启用安全启动机制可以防止LoJax感染,安全启动机制会检查系统固件加载的每个组件是否都使用有效证书进行签名。

由于LoJax rootkit未签名,因此Secure Boot可以防止它首先丢弃恶意软件。

另一种防止Sednit rootkit的方法是确保主板具有制造商提供的最新固件版本。仅当SPI闪存模块的保护容易受到攻击或配置错误时,修补工具才能正常工作。更新的固件应该使恶意更新操作无效。

然而,重新刷新固件是大多数用户不熟悉的操作。这是一种手动操作,通常涉及从主板制造商处下载最新固件版本,将其保存在外部存储设备上,启动到UEFI菜单并安装它。

另一种方法是用新一代更换主板,因为LoJax会影响旧芯片组。这需要一些技术知识,以确保硬件兼容性,并且大多数用户发现更换整个站更容易。

LoJax是一种罕见的威胁,专为高价值目标而设计。ESET今天在Microsoft BlueHat安全会议上展示了他们的发现。有关LoJax UEFI rootkit的详细分析,请点击此处

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/apt28-uses-lojax-first-uefi-rootkit-seen-in-the-wild/
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券