当前位置:安全资讯 >> 全文

LoJax:首个 UEFI rootkit 遭 APT28 利用

发布时间:2018-9-30 18:25 标签: 后门,rootkit UEFI
分享到 0

追踪网络间谍组织活动的安全研究员发现,首个统一可扩展固件接口 (UEFI) rootkit 遭利用。

使用该 rootkit 的威胁组织被称作 SednitFancy BearAPT28Strontium Sofacy,它能够将恶意组件写入某机器的 UEFI 固件中。ESET 公司指出,威胁者将这个 rootkit 内嵌到目标计算机的 SPI 闪存模块中,从而使得它不仅能获得针对操作系统卸载的可持久性,而且还获得针对硬盘驱动遭替代时的可持久性。

LoJack 反盗窃软件的恶意样本在今年年初被发现后,研究人员将这个 rootkit 命名为 LoJax。这种针对合法软件的劫持操作也是 APT28 所为。ESET 在一份报告中表示,“在针对 LoJax 活动的系统上,我们发现很多种工具能够访问并修复 UEFI/BIOS 设置。”

签名驱动开放固件的访问权限

安全研究员解释称,从受害者计算机中找到三种不同的工具。其中两种工具负责收集系统关键的详情并通过读取UEFI 固件所在位置的 SPI 闪存内存模块创建系统固件副本。第三种工具注入恶意模块并将受攻陷固件写会 SPI 闪存内存,从而为恶意软件创建可持续性。

为了访问 UEFI/BIOS 设置,所有工具使用 RWEverything 工具的内核驱动,从而能修改几乎任何硬件的固件设置。该驱动是通过某有效证书签名的。

ESET 表示,这款打补丁工具使用不同技术,或者为了滥用配置错误的平台,或者为了绕过平台 SPI 闪存内存写入保护措施。

写入操作如遭否认,那么这款恶意工具会利用 UEFI (CVE-2014-8273) 中已存在4年之久的竞争条件漏洞绕过这些防御措施。这个 rookit 的目的是为了将恶意软件释放到 Windows 操作系统中并确保在启动时执行。

防御 LoJax UEFI rootkit

通过启用安全启动机制就可防御 LoJax 感染问题。该机制用于查看系统固件所加载的每个组件都通过某有效证书签名。由于 LoJax rootkit 并未被签名,因此安全启动机制可阻止 LoJax 释放恶意软件。

防御 Sednit rootkit 的另外一种方法是确保主板的固件版本是最新版本。这款打补丁工具只有在 SPI 闪存模块易受攻击或被错误配置的情况下才能起作用。更新后的固件应该能让恶意更新操作不起作用。

然而,重新整理固件是多数用户不熟悉的任务。该任务要求从主板制造商手动下载最新的固件版本,将其保存在外部存储设备上,引导至 UEFI 目录并进行安装。

另外一种方法是,既然 LoJax 影响老旧版本的芯片集,则用更新的版本替换主板。这就要求具备一些技术知识以确保硬件的兼容性,而多数用户认为替换整个站点更容易。

LoJax 是一种非常少见的威胁,为高价值目标而设置。ESET 公司在微软蓝帽安全大会上公布了自己的研究成果。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/apt28-uses-lojax-first-uefi-rootkit-seen-in-the-wild/
参与讨论,请先 登录 | 注册

用户评论