資安廠商Eset發現Sednit APT駭客集團使用稱為LoJax的UEFI Rootkit惡意程式,對巴爾幹半島、中歐和東歐的部分政府組織發動攻擊。Eset表示,這是第一次發現野生的UEFI Rootkit,而且除非靠刷新主機板SPI快閃記憶體,否則沒有任何簡單的方法可以排除。

這個稱為LoJax的UEFI Rootkit惡意程式,前身為LoJack的防盜軟體,更早期的軟體名稱為Computrace。一旦Computrace服務被啟用,便會回呼其C&C伺服器,當安裝Computrace的電腦遭竊,擁有者便能獲取通知,知道電腦的所在位置。由於Computrace為了要避免系統被盜後,以重新安裝或是更換硬碟的方法被移除,因此實作了UEFI模組,使其能夠在這些情況下留存下來。這個軟體被預先安裝在各種由OEM廠商製造的筆記型電腦的韌體中,等待使用者啟用,不過,也因為Computrace不尋常的耐久性方法,引起了安全社群的注意。

在今年5月的時候,Arbor Networks發現了幾隻被木馬化的LoJack代理程式,由於這些程式與惡意C&C伺服器連線,而非Absolute Software官方合法的伺服器連線,因此被認為是經過改造的惡意程式。Eset提到,在他們發現的UEFI Rootkit樣本中,有一些域名已經於2017年底,被用在Sednit集團SedUploader後門程式的C&C伺服器,而這次由於是LoJack代理程式的惡意使用,因此稱為LoJax。

Eset表示,UEFI Rootkit是非常危險的惡意程式,因為不只難以檢測,而且能在多種安全措施中存活下來,多數的UEFI Rootkit都只是概念性驗證,在之前沒有任何的野生UEFI Rootkit被偵測過,直到最近他們從受害者的電腦中,找到成功部署的UEFI Rootkit惡意程式。這個事件有兩個值得注意的重點,首先,UEFI Rootkit不再只是傳說,而是真正的威脅。第二,這波行動可能只是Sednit APT駭客集團的一個起頭,對於Sednit瞄準的對象是一個警示。目前Eset發現,LoJax正被用來對巴爾幹半島、中歐和東歐的部分政府組織發動攻擊。

根據Eset的調查,他們確定駭客已經成功將UEFI模組寫入系統SPI快閃記憶體中,其模組能夠在系統開機程序中執行惡意程式,而且除非刷新UEFI韌體否則無法清除,但是一般使用者鮮少進行這樣的動作。Eset提到,Sednit的UEFI Rootkit並沒有適當的簽章,因此安全啟動(Secure Boot)機制是可以阻止這類攻擊的,當啟用安全啟動後,所有韌體的元件被載入時,都需要正確的簽章,這能對UEFI韌體攻擊進行最基本防禦。

在必要的時候,更新系統韌體也會是一個選項,確保主機板使用最新版本的UEFI,可以減少因為韌體漏洞,產生未經授權寫入的機會。Eset提到,要修復基於UEFI的感染並非簡單的事,現在沒有自動的方法可以移除該惡意程式,受害者必須要以安全的韌體映像檔刷新SPI快閃記憶體才行。另外,這個攻擊影響較舊的晶片組,因此確保關鍵系統使用2008年後,英特爾5系列內建Platform Controller Hub的更新晶片組,也能避免遭受攻擊。


Advertisement

更多 iThome相關內容