強勢無比的惡意軟體Lojax來襲,即使重灌系統、更換硬碟也刪不掉
總部位於斯洛伐克布拉迪斯拉發的世界知名電腦安全軟體公司ESET於本週四(9月27日)釋出的一份題為 ofollow,noindex" target="_blank">《LOJAX :First UEFI rootkit found in the wild, courtesy of the Sednit group》 的白皮書中公開披露了據稱是第一個在現實攻擊活動中被捕獲的UEFI rootkit,它具備很強的生存能力,即使是在受害者重灌系統、更換硬碟之後也依然能夠存活。
什麼是UEFI rootkit?
無論是“UEFI”還是“Rootkit”,有些讀者可能都會對它們感到陌生。沒關係,百度百科已經給了我們較詳細的科普。
UEFI,全稱“統一可擴充套件韌體介面(Unified Extensible Firmware Interface)”,是一種詳細描述型別介面的標準。這種介面用於作業系統自動從預啟動的操作環境,載入到一種作業系統上。它是傳統BIOS的替代品,是計算機的核心和關鍵韌體元件。
Rootkit,一種特殊的惡意軟體,它的功能是在安裝目標上隱藏自身及指定的檔案、程序和網路連結等資訊,通常與木馬、後門等其他惡意程式結合使用。
在瞭解了這兩個關鍵名詞之後,相信大家對UEFI rootkit就已經有了一個初步的概念。它實質上就是一種能夠攻擊UEFI韌體的計算機病毒,而下面要介紹的就是最新被發現的一個UEFI rootkit——Lojax。
LoJax與APT28有關
ESET的安全研究人員表示,被稱為LoJax的UEFI rootkit不出意外應該是臭名昭著的Sednit組織(又名APT28、Fancy Bear、Strontium和Sofacy)所進行的惡意軟體活動的一部分,目標是巴爾幹以及歐洲中東部的幾個政府組織。
Sednit組織至少開始運營於2007年,且被認為是一個有著國家背景的黑客組織,據信是俄羅斯軍事情報機構GRU(General Staff Main Intelligence Directorate)的一個部門。該黑客組織與許多轟動一時的網路攻擊事件有關,包括在美國2016年總統大選之前針對美國民主黨全國委員會(DNC)的攻擊。
為什麼被稱作LoJax?
根據ESET研究人員的說法,LoJax原本是Absolute Software公司在2017年初推出的一款深受使用者歡迎的合法膝上型電腦防盜軟體,能夠向用戶報告其膝上型電腦的實時位置。即使是在作業系統被重新安裝或者硬碟被更換的情況下依然能夠工作,而這是通過LoJax軟體將其代理安裝到系統的BIOS中來實現的。
此次被公開披露的這個UEFI rootkit便是黑客對LoJax軟體稍作修改之後而來的,同樣具備覆蓋UEFI韌體的能力,但改變了與Absolute Software伺服器通訊的後臺程序,使得它會向Sednit組織的C&C伺服器進行報告。
在分析了LoJax惡意軟體樣本之後,研究人員發現Sednit組織使用了一個名為“ReWriter_binary”的元件來重寫易受攻擊的UEFI晶片——用他們的惡意程式碼替換了晶片供應商的程式碼。
LoJax很難被清除
LoJax惡意軟體能夠將惡意UEFI韌體副本寫入系統的SPI快閃記憶體,允許BIOS韌體在啟動過程中在計算機硬碟內部安裝和執行惡意軟體。具體來說,這個UEFI rootkit在實施攻擊的過程中,會涉及到使用多個模組以及多種攻擊方法。
在攻擊開始之前,它會先釋放模組用於收集韌體的詳細資訊,然後通過讀取UEFI韌體所在的SPI快閃記憶體模組來建立攜帶LoJax惡意軟體的韌體副本,接著再將副本寫回到系統的SPI快閃記憶體。
在完成了最後的步驟之後,這個UEFI rootkit也就擁有了對裝置和作業系統造成持續性破壞的能力。即使是被發現,受害者也不會有太好的辦法來處理它。
簡單來說,Lojax惡意軟體被安裝在目標系統的底層深處。也正是因為如此,它具備很強的生存能力——能夠在作業系統啟動之前重新感染系統。因此,即使是重新安裝作業系統、格式化硬碟,甚至是更換新硬碟都不足以清除這種感染。
如何清除、如何防禦?
ESET的安全研究人員表示,清除此類UEFI rootkit的唯一方法是使用合法軟體重新整理被感染的韌體。然而,對於大多數普通計算機使用者而言,這通常不會是一項簡單的任務。
值得慶幸的是,研究人員指出,由於這個UEFI rootkit並沒有正確的簽名,因此大家可以通過啟用安全啟動機制來保護自己的計算機免受LoJax惡意軟體的感染,從而確保系統韌體載入的每一個元件都使用的是有效證書並進行了正確的簽名。
如果你已經感染了該惡意軟體,那麼你能做的也就只剩下使用對應主機板的乾淨韌體映像重新重新整理SPI快閃記憶體。這是一個非常繁瑣的過程,必須手動進行且需要掌握相應的專業知識。當然,這裡還有一個更簡單、直接的辦法——更換受感染的主機板。