首个UEFI rootkit在野发现,疑似与Sednit APT有关

首个UEFI rootkit在野发现,疑似与Sednit APT有关

ESET研究人员概述了第一次在野外成功使用UEFI rootkit的研究。

追踪网络间谍组织Sednit(一个也称为Sofacy、Fancy Bear和APT28的APT组织)的研究人员表示,他们在一次成功的攻击中发现了针对Windows统一可扩展固件接口(UEFI)的rootkit实例,这是第一次出现。

讨论Sednit是35C3会议行程的一部分,ESET恶意软件研究员Frédéric Vachon在今年早些时候发表了有关其研究结果的技术文章(PDF)。在会议期间,Vachon表示,找到针对系统UEFI的rootkit非常重要,因为rootkit恶意软件程序可以在主板的闪存中存活,从而具有持久性和隐秘性。

在过去几年中已经对UEFI rootkit进行了大量的研究和讨论,但是很少有证据表明真的有活动打算用UEFI rootkit来感染系统。

什么是UEFI rootkit?

无论是“UEFI”还是“Rootkit”,有些读者可能都会对它们感到陌生。没关系,百度百科已经给了我们较详细的科普。

UEFI,全称“统一可扩展固件接口(Unified Extensible Firmware Interface)”,是一种详细描述类型接口的标准。这种接口用于操作系统自动从预启动的操作环境,加载到一种操作系统上。它是传统BIOS的替代品,是计算机的核心和关键固件组件。

Rootkit,一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,通常与木马、后门等其他恶意程序结合使用。

该rootkit名为LoJax。这个名字是对底层代码的一种认可,因为它是Absolute Software公司用于笔记本电脑的LoJack恢复软件的修改版本。合法的LoJack软件的目的是帮助笔记本被盗受害者秘密访问他们的电脑而不让窃贼知道。它隐藏在系统的UEFI上,并悄悄地将其位置发送给所有者,以便对笔记本电脑进行可能的物理恢复。

每次系统重启时,代码都会在操作系统加载之前以及系统的防病毒软件启动之前执行。这意味着即使更换了设备的硬盘驱动器,LoJack软件仍然可以运行。

根据Vachon的说法,黑客正在充分利用LoJax这一点。这个武器化的、定制的Absolute Software公司的软件可以追溯到易受攻击的2009版本,它有几个关键错误,其中主要是配置模块,其加密性很差,安全性也很差。

“这个漏洞可以让Sednit自定义一个字节,其中包含下载恢复软件要连接的合法软件的域信息,”他说。在这里,单个字节包含最终提供rootkit有效负载的Sednit命令和控制域。

感染链非常典型

攻击始于网络钓鱼电子邮件或等效邮件,成功欺骗受害者下载并执行小型rpcnetp.exe dropper代理。rpcnetp.exe将在系统上安装Internet Explorer浏览器,该浏览器用于与配置的域进行通信。

一旦成功,黑客就可以使用这个工具来部署UEFI rootkit,这个黑客工具钻了固件供应商允许远程闪存的空子,UEFI rootkit位于串行外设接口(SPI)闪存的BIOS区域。

一旦安装了UEFI rootkit,除了重新刷新SPI内存或丢弃主板外,用户无法移除它。

今年5月,Arbor Networks发现Sednit代理商重新开发LoJax。但是,直到9月,Sednit才开始在ESET观察的活动中使用它。这些活动主要针对位于巴尔干半岛以及中欧和东欧的政府实体。

ESET表示确定了一个被LoJax恶意版本感染的客户。上个月,五角大楼采取了更加开放的姿态,开始将APT和其他民族国家的恶意软件样本上传到VirusTotal网站上。前两个样本是rpcnetp.dll和rpcnetp.exe,它们都被检测为UEFI rootkit的dropper机制。

Vachon表示,通过启用Windows安全启动,确保他们的UEFI固件是最新的,最终用户可以保护自己免受攻击。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133784.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code