我們知道UEFI Rootkits存在,但是在現實生活中沒有人看到它。由於ESET出版商的血腥獵犬,現在完成了。在白皮書他們剛剛發表了,他們詳細解釋了黑客集團Sednit別名APT28的網絡欺騙運動的技術齒輪。根據幾位專家的說法,後者是俄羅斯軍事情報局Gru的散發。這項行動稱為“ Lojax”,它是針對中歐和東歐的政府組織的 - 基於著名的UEFI Rootkit,他們能夠捕獲和分析副本。
UEFI是主板固件的一部分,它使您可以啟動操作系統。它存儲在閃光香料中。能夠破解該軟件是網絡企業機構的聖杯的一部分,因為它可以確保它們具有很高的持久性。即使操作系統被完全重新安裝,仍然可以重新註射惡意軟件。過去,與黑客團隊黑客和WikiLeaks/Vault 7出版物有關的啟示表明,在Windows和MacOS上,確實使用了此技術。對於蘋果系統,幾個缺陷近年來,還揭示了這類黑客攻擊。
具有多個起源的惡意軟件
在Lojax的情況下,唯一的是黑客依靠一堆現有和合法的軟件。為了感染UEFI,他們使用了Rweverhything實用程序軟件及其RWDRV.SYS驅動程序,這使他們可以下載Flash SPI內存的完整圖像。
然後,第二個可執行文件將在此圖像中插入惡意驅動程序,並重寫芯片。黑客使用了一系列舊世代中存在的漏洞,這使他們可以繞過寫作訪問控件。
在具有安全啟動的新一代的固件上,由於所有驅動程序都必須簽名,因此不可能使用此技術。根據研究人員的說法,這兩個可執行文件可能是在機器的第一次黑客攻擊之後安裝在系統上。
感染UEFI後,它將安裝第一個軟件代理(RPCNETP.EXE)。實際上,這是由絕對軟件發布者開發的軟件的“ trojanized”版本,其目的是為盜竊計算機提供保護。該軟件的惡意版本能夠將自己注入各種系統流程,並通過外部控制服務器和控制設置通信通道。然後,這將下載具有更豐富功能的第二個代理商。
保護自己免受這種威脅並不容易。在最近的固件上,建議檢查安全引導是否已激活。 ESET在其解決方案中還提供了一個“ UEFI掃描儀”,該“ UEFI掃描儀”應檢測到計算機固件中的惡意代碼。
