我们知道 UEFI Rootkit 的存在,但还没有人在现实生活中见过。感谢出版商 Eset 的侦探们,现在已经完成了。在一个白皮书在他们刚刚发表的文章中,他们详细解释了黑客组织 Sednit(又名 APT28)发起的网络间谍活动的技术运作方式。据几位专家称,后者将是俄罗斯军事情报机构格鲁乌的产物。这项名为“LoJax”的操作以中欧和东欧的政府组织为目标,基于一个著名的 UEFI Rootkit,他们能够捕获并分析该 Rootkit 的副本。
UEFI 是主板固件的一部分,可让您启动操作系统。它存储在 SPI Flash 芯片中。能够破解该软件是网络间谍机构的圣杯之一,因为它可以确保高度的持久性。即使完全重新安装操作系统,恶意软件仍然可以重新引入其中。过去,与 Hacking Team 黑客攻击和 Wikileaks/Vault 7 出版物相关的爆料表明,这种技术实际上在 Windows 和 macOS 上都得到了使用。对于苹果系统,几个缺陷近年来也被揭露进行此类黑客攻击。
具有多个来源的恶意软件
LoJax 案例的独特之处在于,黑客依赖于许多现有的合法软件。为了感染 UEFI,他们使用了 RWEverything 实用软件及其驱动程序 RwDrv.sys,这使他们能够下载完整的 SPI 闪存映像。
然后,第二个可执行文件会将恶意驱动程序插入到该映像中并重写芯片。为此,黑客利用旧一代固件中存在的一系列漏洞,使他们能够绕过写入访问控制。
在配备安全启动的新一代固件上,此技术是不可能的,因为所有驱动程序都必须签名。研究人员表示,这两个可执行文件可能是在对机器进行初始黑客攻击后安装在系统上的。
UEFI一旦被感染,就会安装第一个软件代理(rpcnetp.exe)。这实际上是 LoJack 的“特洛伊木马”版本,该软件由发行商 Absolute Software 开发,旨在提供计算机防盗保护。该软件的恶意版本能够将自身注入各种系统进程,并与外部命令和控制服务器建立通信通道。然后,您将可以下载第二个具有更丰富功能的代理。
保护自己免受这些类型的威胁并不容易。在最新的固件上,建议检查安全启动是否已激活。 Eset还在其解决方案中提供了“UEFI扫描仪”,旨在检测计算机固件中的恶意代码。
