網絡安全研究人員發現了一種罕見的潛在危險惡意軟件,針對計算機的UEFI固件啟動過程以丟棄持久性惡意軟件。那麼如何防止UEFI固件被黑客修改呢?
近日,該活動涉及使用包含惡意植入程序的受感染UEFI(或統一可擴展固件接口),這使其成為第二個已知的公開案例,其中UEFI Rootkit已被廣泛使用。
根據卡巴斯基的說法,惡意UEFI固件映像已被修改為包含幾個惡意模塊,然後被用於將惡意軟件丟棄在受害計算機上的一系列針對性攻擊中,這些攻擊針對來自非洲,亞洲和歐洲的NGO成員。
UEFI是固件接口,是BIOS的替代品,可提高安全性,確保沒有惡意軟件篡改引導過程。因為UEFI有助於加載操作系統本身,所以這種感染可以抵抗OS重新安裝或更換硬盤驅動器。
卡巴斯基說:“ UEFI固件為持久的惡意軟件存儲提供了一種完美的機制。老練的黑客攻擊者可以修改固件,以使其部署將在加載操作系統後運行的惡意代碼。致使殺毒軟件也無法查殺。”
這正是威脅因素似乎所做的。儘管在此階段仍不知道用於覆蓋原始固件的確切感染媒介,但洩漏的手冊表明,該惡意軟件可能是通過對受害者機器的物理訪問來部署的。
新的UEFI惡意軟件是Hacking Team的VectorEDK引導程序的自定義版本,該引導程序於2015年洩露,此後已在線提供。它用於植入第二個有效負載,稱為MosaicRegressor“旨在間諜活動和數據收集的多階段模塊化框架”,其中包含其他下載程序,以獲取並執行輔助組件。
下載者又聯繫命令和控制(C2)服務器以獲取下一級DLL,以執行特定命令,這些命令的結果被導出回C2服務器或轉發到“反饋”郵件地址。攻擊者可以從中收集聚集的數據。
有效載荷以多種方式傳輸,包括通過來自硬編碼在惡意軟件二進制文件中的郵箱的電子郵件(“ mail.ru”)進行傳輸。
但是,在某些情況下,該惡意軟件是通過帶有網絡釣魚郵件的電子郵件發送給某些受害者的,這些電子郵件帶有嵌入式誘餌文件(“ 0612.doc”),該誘餌文件用俄語編寫,旨在討論與朝鮮有關的事件。
關於MosaicRegressor背後威脅者的身份,卡巴斯基表示,它發現了多個代碼級提示,表明它們是用中文或韓文編寫的,代碼中間出現EAST UNION,譯文為東方聯盟,劍指國內一家網絡黑客安全組織,但這一消息很快得到該公司的闢謠。通常情況下,UEFI固件遭到破壞非常罕見,這通常是由於對固件攻擊的可見性低,將其部署在目標的SPI閃存芯片上所需的高級措施以及在敏感工具集或資產燒燬時的高風險這樣做。(歡迎轉載分享)
