摘要
研究人員公開解析了一款統一可擴展固件接口(UEFI) rootkit,據稱是俄羅斯間諜以防盜軟件的名義打造,用來監視歐洲政府的。
研究人員公開解析了一款統一可擴展固件接口(UEFI) rootkit,據稱是俄羅斯間諜以防盜軟件的名義打造,用來監視歐洲政府的。
rootkit是隱藏在計算機系統裡的一類軟件,利用其root或管理員權限盜取及篡改文檔,監視用戶,或者搞些令用戶頭疼的惡作劇。UEFI rootkit 潛伏在主板固件中,也就是說能在操作系統和殺軟運行前啟動,將自身深埋在受感染主機中,不會被檢測到,且具備高級訪問權限。
信息安全公司ESET透露,名為LoJax的一款固件rootkit攻擊了巴爾幹半島和中東歐政府組織所用的Windows計算機。該款惡意軟件背後的最大嫌疑人是著名的“奇幻熊( Fancy Bear )”黑客團伙,亦稱Sednit/Sofacy/APT28,還有人指認是俄羅斯軍事情報部門。
據稱奇幻熊曾黑進美國民主黨的服務器、法國電視網TV5及其他一些重要目標。
LoJax固件rootkit以 Absolute Software 出品的合法應用 LoJack for Laptops 為藍本。LoJack for Laptops 是一款常安裝在筆記本電腦上的設備防盜軟件,其代碼隱身於UEFI固件中,通過互聯網回連其後端服務器。因此,一旦計算機被盜,它就可以秘密向其真正的主人揭示自己的當前位置。
今年5月,Netscout公司旗下 Arbor Networks 發現LoJack防盜/尋回軟件被奇幻熊黑客團伙重用來開發LoJax。如今,ESET發佈報告,詳細描述了該間諜軟件的內部機制,列出了可用於檢測和清除該惡意軟件的特徵碼。
基本上,黑客先入侵一臺主機,獲取到管理員權限,然後試圖修改主板固件植入惡意UEFI模塊。如果成功植入,計算機每次正常啟動時便都會安裝並運行LoJax。
該惡意代碼因而得以在操作系統和殺軟加載前就運行起來。換硬盤或重裝操作系統都無濟於事,該惡意軟件存儲在系統的內置串口閃存( SPI flash )中,會在新硬盤或被清理過的硬盤上重裝自身。
一旦啟動起來,LoJax會聯繫偽裝成正常網站的命令與控制(C&C)服務器,然後下載指令並執行之。當然,這些C&C服務器據說是俄羅斯情報機構運作的。
9月27日,ESET團隊寫道:
我們的調查已確認,該惡意UEFI模塊至少有一次被成功寫入了主機的串口閃存。該模塊能夠在引導啟動過程中往磁盤上釋放並執行惡意軟件。該駐留方法極具侵入性,因為不僅能挺過系統重裝,甚至換掉硬盤都清除不了。而且,清除主機的UEFI固件意味著刷新固件,該操作並不常用,也肯定不是普通用戶做得來的。事實證明,LoJack,或者說Computrace,是設計隱秘固件級間諜軟件相當不錯的模板。ESET表示:研究LoJax的過程中,他們發現了幾個有趣的事實,使他們認為這些黑客可能試圖模仿Computrace的駐留方法
LoJax使用了內核驅動RwDrv.sys來重寫UEFI閃存固件及其設置來存儲自身,以便當PC重啟時可以將自身拷貝到硬盤執行。該內核驅動是從名為RWEverything的合法應用中偷來的。
ESET稱,啟用 Secure Boot 應能阻止LoJax將自身注入固件存儲,因為該代碼沒有有效數字簽名,在啟動時就會被拒絕。但要注意的是,這需要足夠健壯的 Secure Boot 配置:應能挫敗帶UEFI存儲讀寫權限的管理員級惡意軟件。
固件設置只要禁用寫操作就能挫敗閃存安裝。如果關閉BIOS寫,啟用BIOS鎖定,開啟 SMM(系統管理模式) BIOS 寫保護,那該惡意軟件就無法將自身寫進主板的閃存了。
另外,擦除硬盤和固件存儲也能幹掉該rootkit。
現代系統應能扛住惡意固件覆寫——雖然ESET稱其發現了至少一例存在於主機串口閃存的LoJax。
雖然難以修改系統的UEFI鏡像,卻也幾乎沒有解決方案能掃描系統的UEFI模塊並檢測惡意UEFI模塊。而且,清除主機的UEFI固件意味著刷新固件,該操作並不常用,也肯定不是普通用戶做得來的。這些優勢解釋了為什麼資源豐富且有決心的攻擊者將繼續攻擊主機的UEFI。想將惡意軟件注入固件需要採取一些步驟和措施,但最終結果卻很簡單:創建固守主機的軟件惡魔,確保伴隨的惡意軟件可在被黑系統啟動時加載。
9月27日的2018微軟藍帽子大會上,ESET呈現了其對該 UEFI rootkit 的研究成果,可參看ESET發佈的PDF報告,獲取更深入的詳細信息。
閱讀更多 秦安戰略 的文章
