監視軟件製造商黑客團隊顯然部署了統一的可擴展固件接口(UEFI)基本輸入/輸出系統(BIOS)rootkit,以確保即使在硬盤驅動器被擦拭乾淨並重新安裝了硬盤之後,惡意軟件即使將惡意軟件放在受害者的PC中。
在黑客團隊數據洩漏之後,Antivirus公司趨勢Micro的調查顯示,使用UEFI BIOS Rootkit用作傳統BIOS的替代。
Trend Micro弄清楚了黑客團隊如何設法安裝惡意軟件,儘管重新安裝了惡意軟件,該軟件仍在受害者的系統中。
顯然,該小組創建了一種方法,從而能夠感染由台灣INSYDE軟件開發的UEFI固件。黑客團隊使用UEFI BIOS Rootkit開發了RCS軟件的模塊。每當受害者重新啟動其PC時,該軟件將檢查受害者係統是否被惡意軟件代理感染。甚至代理是MIA,該軟件將再次感染系統。
“從黑客團隊洩漏中解剖數據已經產生了另一個關鍵發現:黑客團隊使用UEFI BIOS rootkit來保持其遙控系統(RCS)代理在其目標系統中安裝的遙控系統(RCS)代理。這意味著,即使用戶格式化硬盤,即使硬盤,也可以重新安裝OS,甚至還可以建立新的硬盤,也可以將新的硬盤固定在Mictosf and Windows和Microsoft Isoft和Mictoft Isoft isoft isoft isoft isoft isoft isoft isoft isoft isoft isoft isoft,'''陳述趨勢微研究人員。
研究團隊確定瞭如何進行攻擊的過程,這要歸功於400 GB黑客黑客數據洩露後的洩漏演示。
要安裝惡意軟件代理,需要在受害者的PC上複製三個文件,即ntfs.mod,dropper.mod和rkloader.mod。黑客團隊的演講說,該過程僅在對受害者PC的物理訪問時才有效。但是,防病毒公司的研究人員“不排除遠程安裝的可能性”。
趨勢微型團隊建議如何避免受到影響:
- 確保啟用UEFI Secureflash。
- 每當發布安全補丁時,更新BIOS。
- 為BIOS或UEFI創建密碼。
照片:亞當·托馬斯(Adam Thomas)|Flickr
