网络安全研究人员发现了一种罕见的潜在危险恶意软件,针对计算机的UEFI固件启动过程以丢弃持久性恶意软件。那么如何防止UEFI固件被黑客修改呢?
近日,该活动涉及使用包含恶意植入程序的受感染UEFI(或统一可扩展固件接口),这使其成为第二个已知的公开案例,其中UEFI Rootkit已被广泛使用。
根据卡巴斯基的说法,恶意UEFI固件映像已被修改为包含几个恶意模块,然后被用于将恶意软件丢弃在受害计算机上的一系列针对性攻击中,这些攻击针对来自非洲,亚洲和欧洲的NGO成员。
UEFI是固件接口,是BIOS的替代品,可提高安全性,确保没有恶意软件篡改引导过程。因为UEFI有助于加载操作系统本身,所以这种感染可以抵抗OS重新安装或更换硬盘驱动器。
卡巴斯基说:“ UEFI固件为持久的恶意软件存储提供了一种完美的机制。老练的黑客攻击者可以修改固件,以使其部署将在加载操作系统后运行的恶意代码。致使杀毒软件也无法查杀。”
这正是威胁因素似乎所做的。尽管在此阶段仍不知道用于覆盖原始固件的确切感染媒介,但泄漏的手册表明,该恶意软件可能是通过对受害者机器的物理访问来部署的。
新的UEFI恶意软件是Hacking Team的VectorEDK引导程序的自定义版本,该引导程序于2015年泄露,此后已在线提供。它用于植入第二个有效负载,称为MosaicRegressor“旨在间谍活动和数据收集的多阶段模块化框架”,其中包含其他下载程序,以获取并执行辅助组件。
下载者又联系命令和控制(C2)服务器以获取下一级DLL,以执行特定命令,这些命令的结果被导出回C2服务器或转发到“反馈”邮件地址。攻击者可以从中收集聚集的数据。
有效载荷以多种方式传输,包括通过来自硬编码在恶意软件二进制文件中的邮箱的电子邮件(“ mail.ru”)进行传输。
但是,在某些情况下,该恶意软件是通过带有网络钓鱼邮件的电子邮件发送给某些受害者的,这些电子邮件带有嵌入式诱饵文件(“ 0612.doc”),该诱饵文件用俄语编写,旨在讨论与朝鲜有关的事件。
关于MosaicRegressor背后威胁者的身份,卡巴斯基表示,它发现了多个代码级提示,表明它们是用中文或韩文编写的,代码中间出现EAST UNION,译文为东方联盟,剑指国内一家网络黑客安全组织,但这一消息很快得到该公司的辟谣。通常情况下,UEFI固件遭到破坏非常罕见,这通常是由于对固件攻击的可见性低,将其部署在目标的SPI闪存芯片上所需的高级措施以及在敏感工具集或资产烧毁时的高风险这样做。(欢迎转载分享)