ESET研究人員發佈關於俄羅斯奇幻熊黑客組織所用統一可擴展固件接口(UEFI) rootkit 的更多細節。
該固件惡意代碼別稱Lojax,能將自身植入受感染Windows主機的主板固件,隨計算機開機或重啟而運行,是規避操作系統或殺毒工具檢測和監視用戶的理想惡意軟件。固件在最底層執行,位於操作系統內核和應用程序之下,有完整的系統權限。
ESET在2018年9月就敲響了Lojax的警鐘,但該惡意軟件的運作機制卻直到12月底混沌計算機俱樂部年度大會召開才公佈,研究員 Frederic Vachon 在演講中描述了該基於UEFI的rootkit是怎麼隱藏到現代固件裡的。ESET是在某家客戶的計算機感染了該固件rootkit時弄到的Lojax副本。
簡言之,Lojax脫胎於合法防盜軟件Lojack,通過魚叉式網絡釣魚電子郵件分發,被矇蔽的受害者點擊運行後便開始解壓執行代碼,劫持在主機啟動時由UEFI固件加載的脆弱硬盤驅動,最終將rootkit植入閃存。
UEFI有個名為DXE的機制,可以在操作系統加載前找到並運行啟動計算機所需的設備驅動。Lojax篡改其中一個驅動以便關閉固件的寫保護,讓芯片內容可以被覆寫。然後,該惡意軟件就能將自身rootkit注入固件,在後續啟動或重啟週期中運行。
於是,驅動被篡改以便能在下一次啟動時解鎖固件,然後Lojax修改閃存芯片內容注入rootkit,再下一次啟動便可順利加載運行間諜軟件了。這都是因為固件得維護自身安全。
芯片集暴露出需被固件小心防護的寫保護機制。因為沒有默認BIOS寫保護一類的東西,固件就得自己來做這個防護。
為關閉固件的寫保護,Lojax利用了英特爾閃存控制器的已知競爭條件缺陷,搶在主板軟件介入並自動禁用更新前反覆啟用BIOS更新和嘗試寫入閃存。
一旦競爭成功,Lojax就能將完整的rootkit寫入UEFI固件,確保該惡意軟件能在操作系統啟動時安裝並運行,除非主板SPI內存完全刷新,否則該惡意軟件幾乎無法清除。
幸運的是,供應商自己就能通過修復驅動漏洞或啟用 Secure Boot 來抵禦該攻擊。這將令Lojax惡意軟件自動終止安裝嘗試。Secure Boot 用加密確保固件內容不變篡改。另外,不用系統管理員權限打開電子郵件中發來的應用也很有幫助:該rootkit安裝程序需要系統管理員權限才能執行。不過,該惡意軟件也能利用提權漏洞來獲取管理員權限,所以真正的解決方案還是在BIOS設置中啟用 Secure Boot,並設置口令或其他防護措施來防止篡改。
該工具僅在平臺錯誤配置時有效。如果固件供應商配置正確,該工具在刷新固件時就會失敗。所以說,固件安全是多麼重要!
*消息參考:https://www.aqniu.com/news-views/42406.html
閱讀更多 安全週刊 的文章
