- A+
ESET的研究员概述了在野外使用的第一个成功的UEFI rootkit的研究。
德国莱比锡 - 寻找网络间谍组织Sednit(APT也称为Sofacy , Fancy Bear和APT28 )的研究人员表示,他们在成功的攻击中发现了第一个针对Windows统一可扩展固件接口(UEFI)的rootkit实例。
Sednit的讨论是35C3会议的一部分,ESET恶意软件研究员FrédéricVachon在今年早些时候发表了关于他的研究结果的技术文章 (PDF)。 在他的会议期间,Vachon表示,找到针对系统UEFI的rootkit非常重要,因为rootkit恶意软件程序可以在主板的闪存中存活,从而使其具有持久性和隐秘性。
“UEFI rootkit在过去几年中已经进行了大量的研究和讨论,但是已经提供了很少的证据表明真正的活动正在积极地试图在这个级别上破坏系统,”他说。
rootkit名为LoJax。 这个名称是对底层代码的一种认可,它是Absolute Software用于笔记本电脑的LoJack恢复软件的修改版本。 合法的LoJack软件的目的是帮助被盗笔记本电脑的受害者能够访问他们的电脑而不会泄露偷走它的坏人。 它隐藏在一个系统的UEFI上,并悄悄地将其下落发送给所有者,以便对笔记本电脑进行可能的物理恢复。
每次系统重新启动时,代码都会在启动之前,操作系统加载之前以及系统的防病毒软件启动之前执行。 这意味着即使更换了设备的硬盘驱动器,LoJack软件仍然可以运行。
根据Vachon的说法,坏人正在利用LoJax充分利用这一点。 这个武器化的,定制版的Absolute Software的商品可以追溯到易受攻击的2009版本,它有几个关键错误,其中主要是配置模块,加密性很差,安全性很差。
“这个漏洞允许Sednit自定义一个字节,其中包含要连接的合法软件的域信息,以便下载恢复软件,”他说。 在LoJax的情况下,单个字节包含最终提供rootkit有效负载的Sednit命令和控制域。
感染链是典型的:攻击始于网络钓鱼电子邮件或等效邮件,成功欺骗受害者下载并执行小型rpcnetp.exe dropper代理。 rpcnetp.exe将安装并扩展到系统的Internet Explorer浏览器,该浏览器用于与配置的域进行通信。
“一旦我在机器上立足,我就可以使用这个工具来部署UEFI rootkit,”Vachon解释说,并补充说黑客工具利用固件供应商允许远程闪存。 “UEFI rootkit位于串行外设接口(SPI)闪存的BIOS区域,”他说。
Vachon表示,一旦安装了UEFI rootkit,除了重新刷新SPI内存或丢弃主板外,用户无法移除它。
今年5月,Arbor Networks发现Lojack被Sednit代理商重新开发用于开发LoJax。 但是,直到9月,Sednit才开始在ESET观察的现场活动中使用它。 这些主要针对位于巴尔干半岛以及中欧和东欧的政府实体。
ESET表示,它确定了一个被流氓版本的LoJax感染的客户。 上个月,五角大楼采取了更加开放的态度,开始将APT和其他民族国家的恶意软件样本上传到VirusTotal网站。 前两个样本是rpcnetp.dll和rpcnetp.exe,它们都被检测为UEFI rootkit的dropper机制。
Vachon说,通过启用安全启动,并确保他们的UEFI固件是最新的,最终用户可以保护自己免受攻击。
