ESET研究人員概述了第一次在野外成功使用UEFI rootkit的研究。

追蹤網絡間諜組織Sednit（一個也稱爲Sofacy、Fancy Bear和APT28的APT組織）的研究人員表示，他們在一次成功的攻擊中發現了針對Windows統一可擴展固件接口（UEFI）的rootkit實例，這是第一次出現。

討論Sednit是35C3會議行程的一部分，ESET惡意軟件研究員Frédéric Vachon在今年早些時候發表了有關其研究結果的技術文章（PDF）。在會議期間，Vachon表示，找到針對系統UEFI的rootkit非常重要，因爲rootkit惡意軟件程序可以在主板的閃存中存活，從而具有持久性和隱祕性。

在過去幾年中已經對UEFI rootkit進行了大量的研究和討論，但是很少有證據表明真的有活動打算用UEFI rootkit來感染系統。

什麼是UEFI rootkit?

無論是“UEFI”還是“Rootkit”，有些讀者可能都會對它們感到陌生。沒關係，百度百科已經給了我們較詳細的科普。

UEFI，全稱“統一可擴展固件接口(Unified Extensible Firmware Interface)”，是一種詳細描述類型接口的標準。這種接口用於操作系統自動從預啓動的操作環境，加載到一種操作系統上。它是傳統BIOS的替代品，是計算機的核心和關鍵固件組件。

Rootkit，一種特殊的惡意軟件，它的功能是在安裝目標上隱藏自身及指定的文件、進程和網絡鏈接等信息，通常與木馬、後門等其他惡意程序結合使用。

該rootkit名爲LoJax。這個名字是對底層代碼的一種認可，因爲它是Absolute Software公司用於筆記本電腦的LoJack恢復軟件的修改版本。合法的LoJack軟件的目的是幫助筆記本被盜受害者祕密訪問他們的電腦而不讓竊賊知道。它隱藏在系統的UEFI上，並悄悄地將其位置發送給所有者，以便對筆記本電腦進行可能的物理恢復。

每次系統重啓時，代碼都會在操作系統加載之前以及系統的防病毒軟件啓動之前執行。這意味着即使更換了設備的硬盤驅動器，LoJack軟件仍然可以運行。

根據Vachon的說法，黑客正在充分利用LoJax這一點。這個武器化的、定製的Absolute Software公司的軟件可以追溯到易受攻擊的2009版本，它有幾個關鍵錯誤，其中主要是配置模塊，其加密性很差，安全性也很差。

“這個漏洞可以讓Sednit自定義一個字節，其中包含下載恢復軟件要連接的合法軟件的域信息，”他說。在這裏，單個字節包含最終提供rootkit有效負載的Sednit命令和控制域。

感染鏈非常典型

攻擊始於網絡釣魚電子郵件或等效郵件，成功欺騙受害者下載並執行小型rpcnetp.exe dropper代理。rpcnetp.exe將在系統上安裝Internet Explorer瀏覽器，該瀏覽器用於與配置的域進行通信。

一旦成功，黑客就可以使用這個工具來部署UEFI rootkit，這個黑客工具鑽了固件供應商允許遠程閃存的空子，UEFI rootkit位於串行外設接口（SPI）閃存的BIOS區域。

一旦安裝了UEFI rootkit，除了重新刷新SPI內存或丟棄主板外，用戶無法移除它。

今年5月，Arbor Networks發現Sednit代理商重新開發LoJax。但是，直到9月，Sednit纔開始在ESET觀察的活動中使用它。這些活動主要針對位於巴爾幹半島以及中歐和東歐的政府實體。

ESET表示確定了一個被LoJax惡意版本感染的客戶。上個月，五角大樓採取了更加開放的姿態，開始將APT和其他民族國家的惡意軟件樣本上傳到VirusTotal網站上。前兩個樣本是rpcnetp.dll和rpcnetp.exe，它們都被檢測爲UEFI rootkit的dropper機制。

Vachon表示，通過啓用Windows安全啓動，確保他們的UEFI固件是最新的，最終用戶可以保護自己免受攻擊。

原創文章，作者：Gump，轉載自：http://www.mottoin.com/news/133784.html