区块链安全咨询公司 曲速未来 消息:据安全研究人员声称,俄罗斯网络间谍组织Fancy Bear是第一个在恶意攻击中使用统一可扩展固件接口(UEFI)rootkit的威胁演员。
Lojack以前称为Computrace,是一种合法的笔记本电脑恢复解决方案,供寻求保护资产丢失或被盗的公司使用。它可用于远程定位和锁定设备,以及删除文件。Lojack代表了一个伟大的双重代理,因为它通常被认为是合法软件,但也允许远程代码执行。
几年前,据称,意大利的监控软件制造商Hacking Team使用UEFI rootkit来确保其软件在目标系统上的持久性,但安全公司称,没有任何UEFI rootkit“在野外被发现”。
然而,最近发现的Fancy Bear活动改变了:演员能够在受害者的系统上成功部署恶意UEFI模块。ESET表示,这不仅证明UEFI rootkit是真正的威胁,而且还表明Fancy Bear可能比想象的更危险。
在过去十五年中活跃的演员,也被称为APT28,Strontium,Sofacy和Sednit,据信已经策划了各种高调的攻击,例如在2016年美国选举之前的DNC黑客攻击。
今年早些时候,在感染了Turla的蚊子后门的系统上发现该组织的Zerbrocy恶意软件后,安全研究人员得出结论,威胁行为者的活动与其他国家赞助的行动重叠。
LoJax UEFI Rootkit如何工作?
根据调查已经确定这个恶意行为者在将恶意UEFI模块写入系统的SPI闪存时至少成功了一次。此模块能够在引导过程中删除并执行磁盘上的恶意软件。这种持久性方法特别具有侵入性,因为它不仅可以在重新安装操作系统后继续使用,而且还可以替换硬盘。这是一份报告中的表示。
5月,Fancy Bear被发现在他们的攻击中滥用了LoJack(该工具的特洛伊木马版本,ESET称之为LoJax)。对活动的深入分析不仅揭示了演员试图模仿该工具的持久性方法,而且还使用了其他工具来访问和修改UEFI/BIOS设置。
这些包括内核驱动程序和三个工具:
(1)转储有关低级系统设置的信息;
(2)保存系统固件的映像;
(3)将恶意UEFI模块添加到映像。然后,第三个工具将修改后的固件映像写回SPI闪存,从而有效地在系统上安装UEFI rootkit。
如果平台允许对SPI闪存进行写操作,它将继续写入。如果没有,它实际上实现了对已知漏洞的攻击。
UEFI rootkit旨在将恶意软件丢弃到Windows操作系统分区上,并确保它在启动时执行。
观察到的LoJax样本使用了先前与Fancy Bear的SedUploader第一阶段后门相关联的命令和控制(C&C)服务器,结合了受LoJax感染的计算机上的其他Sednit工具(SedUploader,XAgent后门和Xtunnel网络代理工具),暗示这个威胁演员是在攻击背后。
如何保护您的计算机免受Rootkit的侵害
1)正如安全研究人员所说,没有简单的方法可以自动从系统中删除此威胁。
2)由于UEFI rootkit未正确签名,因此用户可以通过启用安全启动机制来保护自己免受LoJax感染,从而确保系统固件加载的每个组件都使用有效证书进行了正确签名。
3)如果您已经感染了此类恶意软件,则删除rootkit的唯一方法是使用特定于主板的干净固件映像重新刷新SPI闪存,这是一个非常精细的过程,必须手动并仔细执行。
4)替换重新刷新UEFI/BIOS,您可以直接更换受损系统的主板。
总结
区块链安全咨询公司 曲速未来 归纳:LoJax活动表明,高价值目标是部署罕见甚至是独特威胁的主要候选人,而且这些目标应始终关注妥协的迹象。此外,这项研究告诉我们的一件事是,尽可能深入挖掘是非常重要的!
本文内容由 曲速未来 (WarpFuture.com) 安全咨询公司整理编译,转载请注明。 曲速未来提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。