區塊鏈安全諮詢公司 曲速未來 訊息：據安全研究人員聲稱，俄羅斯網路間諜組織Fancy Bear是第一個在惡意攻擊中使用統一可擴充套件韌體介面（UEFI）rootkit的威脅演員。

​

Lojack以前稱為Computrace，是一種合法的膝上型電腦恢復解決方案，供尋求保護資產丟失或被盜的公司使用。它可用於遠端定位和鎖定裝置，以及刪除檔案。Lojack代表了一個偉大的雙重代理，因為它通常被認為是合法軟體，但也允許遠端程式碼執行。

​

幾年前，據稱，義大利的監控軟體製造商Hacking Team使用UEFI rootkit來確保其軟體在目標系統上的永續性，但安全公司稱，沒有任何UEFI rootkit“在野外被發現”。

​

然而，最近發現的Fancy Bear活動改變了：演員能夠在受害者的系統上成功部署惡意UEFI模組。ESET表示，這不僅證明UEFI rootkit是真正的威脅，而且還表明Fancy Bear可能比想象的更危險。

​

在過去十五年中活躍的演員，也被稱為APT28，Strontium，Sofacy和Sednit，據信已經策劃了各種高調的攻擊，例如在2016年美國選舉之前的DNC黑客攻擊。

今年早些時候，在感染了Turla的蚊子後門的系統上發現該組織的Zerbrocy惡意軟體後，安全研究人員得出結論，威脅行為者的活動與其他國家贊助的行動重疊。

​

LoJax UEFI Rootkit如何工作？

根據調查已經確定這個惡意行為者在將惡意UEFI模組寫入系統的SPI快閃記憶體時至少成功了一次。此模組能夠在引導過程中刪除並執行磁碟上的惡意軟體。這種永續性方法特別具有侵入性，因為它不僅可以在重新安裝作業系統後繼續使用，而且還可以替換硬碟。這是一份報告中的表示。

5月，Fancy Bear被發現在他們的攻擊中濫用了LoJack（該工具的特洛伊木馬版本，ESET稱之為LoJax）。對活動的深入分析不僅揭示了演員試圖模仿該工具的永續性方法，而且還使用了其他工具來訪問和修改UEFI/BIOS設定。

這些包括核心驅動程式和三個工具：

（1）轉儲有關低階系統設定的資訊；

（2）儲存系統韌體的映像；

（3）將惡意UEFI模組新增到映像。然後，第三個工具將修改後的韌體映像寫回SPI快閃記憶體，從而有效地在系統上安裝UEFI rootkit。

​

如果平臺允許對SPI快閃記憶體進行寫操作，它將繼續寫入。如果沒有，它實際上實現了對已知漏洞的攻擊。

​

UEFI rootkit旨在將惡意軟體丟棄到Windows作業系統分割槽上，並確保它在啟動時執行。

​

觀察到的LoJax樣本使用了先前與Fancy Bear的SedUploader第一階段後門相關聯的命令和控制（C＆C）伺服器，結合了受LoJax感染的計算機上的其他Sednit工具（SedUploader，XAgent後門和Xtunnel網路代理工具），暗示這個威脅演員是在攻擊背後。

​

如何保護您的計算機免受Rootkit的侵害

1）正如安全研究人員所說，沒有簡單的方法可以自動從系統中刪除此威脅。

​

2）由於UEFI rootkit未正確簽名，因此使用者可以通過啟用安全啟動機制來保護自己免受LoJax感染，從而確保系統韌體載入的每個元件都使用有效證書進行了正確簽名。

​

3）如果您已經感染了此類惡意軟體，則刪除rootkit的唯一方法是使用特定於主機板的乾淨韌體映像重新重新整理SPI快閃記憶體，這是一個非常精細的過程，必須手動並仔細執行。

​

4）替換重新重新整理UEFI/BIOS，您可以直接更換受損系統的主機板。

​

總結

區塊鏈安全諮詢公司 曲速未來 歸納：LoJax活動表明，高價值目標是部署罕見甚至是獨特威脅的主要候選人，而且這些目標應始終關注妥協的跡象。此外，這項研究告訴我們的一件事是，儘可能深入挖掘是非常重要的！

本文內容由 曲速未來 (WarpFuture.com) 安全諮詢公司整理編譯，轉載請註明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智慧合約開發安全等相關區塊鏈安全諮詢服務。