科技保护的发展也激起黑客的好奇心,导致软件被恶意入侵

首先在野外发现的UEFI恶意软件是被俄罗斯人劫持的笔记本电脑安全软件,oJax”重新使用了LoJack防盗代理作为rootkit,它可以在OS重新安装时继续使用。

UEFI哦,对于UEFI作为rootkit和其他恶意软件的潜在藏身之处,存在许多安全问题,包括固件开发人员PhoenixTechnologies的DickWilkins和JimMortensen去年在UEFIPlugfest大会上的演讲中提出的问题。他们解释说:“固件是软件,因此很容易受到通常针对软件的威胁。

“与LoJax代理一起,”ESET研究人员指出,“发现了能够读取系统UEFI固件的工具,在一个案例中,这个工具能够转储、修补和覆盖系统SPI闪存的一部分。”这个工具的最终目标是在一个SPI闪存保护脆弱或配置错误的系统上安装一个恶意的UEFI模块。由于UEFI实现的变化,这种类型的内存保护问题——威尔金斯和莫滕森警告过的那种问题——已经太常见了。

好黑客借,国家黑客偷。虽然LoJax展示了国家资助的攻击的所有特征,但在UEFIpayload方面,这只花哨的熊队还是有一点先机——它借用了一种商业软件产品,目的是为了在计算机固件中保持活跃。LoJax的rootkit本质上是绝对软件公司2008年版的LoJack防盗代理的一个修改版本,在该版本中称为Computrace。

5月1日,ArborNetworks报道了LoJack小型代理版本的“木马化”样本的发现,这些样本经过修改,可以与可疑的与花式熊活动有关的服务器进行通信。该恶意软件使用地域与2017年另一个后门SedUploader使用的域相同。合法的LoJack客户端和恶意客户端之间的差异非常小——根据ESET研究人员的说法,只有几十个字节——以至于它们基本上没有被检测为恶意软件。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181015A08URB00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券