防盜軟體遭改造為UEFI Rootkit惡意程式,入侵主機板韌體且難以移除
文/李建興 | 2018-10-01發表
資安廠商Eset發現Sednit APT駭客集團使用稱為LoJax的UEFI Rootkit惡意程式,對巴爾
幹半島、中歐和東歐的部分政府組織發動攻擊。Eset表示,這是第一次發現野生的UEFI
Rootkit,而且除非靠刷新主機板SPI快閃記憶體,否則沒有任何簡單的方法可以排除。
這個稱為LoJax的UEFI Rootkit惡意程式,前身為LoJack的防盜軟體,更早期的軟體名稱
為Computrace。一旦Computrace服務被啟用,便會回呼其C&C伺服器,當安裝Computrace
的電腦遭竊,擁有者便能獲取通知,知道電腦的所在位置。由於Computrace為了要避免系
統被盜後,以重新安裝或是更換硬碟的方法被移除,因此實作了UEFI模組,使其能夠在這
些情況下留存下來。這個軟體被預先安裝在各種由OEM廠商製造的筆記型電腦的韌體中,
等待使用者啟用,不過,也因為Computrace不尋常的耐久性方法,引起了安全社群的注意
。
在今年5月的時候,Arbor Networks發現了幾隻被木馬化的LoJack代理程式,由於這些程
式與惡意C&C伺服器連線,而非Absolute Software官方合法的伺服器連線,因此被認為是
經過改造的惡意程式。Eset提到,在他們發現的UEFI Rootkit樣本中,有一些域名已經於
2017年底,被用在Sednit集團SedUploader後門程式的C&C伺服器,而這次由於是LoJack
代理程式的惡意使用,因此稱為LoJax。
Eset表示,UEFI Rootkit是非常危險的惡意程式,因為不只難以檢測,而且能在多種安全
措施中存活下來,多數的UEFI Rootkit都只是概念性驗證,在之前沒有任何的野生UEFI
Rootkit被偵測過,直到最近他們從受害者的電腦中,找到成功部署的UEFI Rootkit惡意
程式。這個事件有兩個值得注意的重點,首先,UEFI Rootkit不再只是傳說,而是真正的
威脅。第二,這波行動可能只是Sednit APT駭客集團的一個起頭,對於Sednit瞄準的對象
是一個警示。目前Eset發現,LoJax正被用來對巴爾幹半島、中歐和東歐的部分政府組織
發動攻擊。
根據Eset的調查,他們確定駭客已經成功將UEFI模組寫入系統SPI快閃記憶體中,其模組
能夠在系統開機程序中執行惡意程式,而且除非刷新UEFI韌體否則無法清除,但是一般使
用者鮮少進行這樣的動作。Eset提到,Sednit的UEFI Rootkit並沒有適當的簽章,因此安
全啟動(Secure Boot)機制是可以阻止這類攻擊的,當啟用安全啟動後,所有韌體的元
件被載入時,都需要正確的簽章,這能對UEFI韌體攻擊進行最基本防禦。
在必要的時候,更新系統韌體也會是一個選項,確保主機板使用最新版本的UEFI,可以減
少因為韌體漏洞,產生未經授權寫入的機會。Eset提到,要修復基於UEFI的感染並非簡單
的事,現在沒有自動的方法可以移除該惡意程式,受害者必須要以安全的韌體映像檔刷新
SPI快閃記憶體才行。另外,這個攻擊影響較舊的晶片組,因此確保關鍵系統使用2008年
後,英特爾5系列內建Platform Controller Hub的更新晶片組,也能避免遭受攻擊。
https://www.ithome.com.tw/news/126208
至少這十年內的主機應該是不會有甚麼影響啦
不過與當時的CIH相比好像又有一點人性了。至少不是把整個EFI韌體洗掉連開機都不行了