我們知道 UEFI Rootkit 的存在,但還沒有人在現實生活中見過。感謝出版商 Eds 的偵探們,現在已經完成了。在一個白皮書在他們剛剛發表的文章中,他們詳細解釋了駭客組織 Sednit(又名 APT28)發起的網路間諜活動的技術運作方式。據幾位專家稱,後者將是俄羅斯軍事情報機構格魯烏的產物。這項名為「LoJax」的作業以中歐和東歐的政府組織為目標,基於一個著名的 UEFI Rootkit,他們能夠捕獲並分析該 Rootkit 的副本。
UEFI 是主機板韌體的一部分,可讓您啟動作業系統。它儲存在 SPI Flash 晶片中。能夠破解該軟體是網路間諜機構的聖杯之一,因為它可以確保高度的持久性。即使完全重新安裝作業系統,惡意軟體仍然可以重新引入其中。過去,與 Hacking Team 駭客攻擊和 Wikileaks/Vault 7 出版物相關的爆料表明,這種技術實際上在 Windows 和 macOS 上都被使用了。對於蘋果系統,幾個缺陷近年來也被揭露進行此類駭客攻擊。
具有多個來源的惡意軟體
LoJax 案例的獨特之處在於,駭客依賴許多現有的合法軟體。為了感染 UEFI,他們使用了 RWEverything 實用軟體及其驅動程式 RwDrv.sys,這使他們能夠下載完整的 SPI 快閃記憶體映像。
然後,第二個可執行檔會將惡意驅動程式插入該映像中並重寫晶片。為此,駭客利用舊一代韌體中存在的一系列漏洞,使他們能夠繞過寫入存取控制。
在配備安全啟動的新一代韌體上,此技術是不可能的,因為所有驅動程式都必須簽署。研究人員表示,這兩個可執行檔案可能是在對機器進行初始駭客攻擊後安裝在系統上的。
UEFI一旦感染,就會安裝第一個軟體代理程式(rpcnetp.exe)。這實際上是 LoJack 的「特洛伊木馬」版本,該軟體由發行商 Absolute Software 開發,旨在提供電腦防盜保護。該軟體的惡意版本能夠將自身注入各種系統進程,並與外部命令和控制伺服器建立通訊通道。然後,您將可以下載第二個具有更豐富功能的代理程式。
保護自己免受這些類型的威脅並不容易。在最新的韌體上,建議檢查安全啟動是否已啟動。 Eset還在其解決方案中提供了“UEFI掃描器”,旨在檢測電腦韌體中的惡意程式碼。