俄羅斯網絡犯罪在攻擊中使用UEFI Rootkit區塊鏈
區塊鏈安全咨詢公司曲速未來消息:據安全研究人員聲稱,俄羅斯網絡間諜組織FancyBear是第一個在惡意攻擊中使用統一可擴展固件接口(UEFI)rootkit的威脅演員。
據安全研究人員聲稱,俄羅斯網絡間諜組織Fancy Bear是第一個在惡意攻擊中使用統一可擴展固件接口(UEFI)rootkit的威脅演員。
Lojack以前稱為Computrace,是一種合法的筆記本電腦恢復解決方案,供尋求保護資產丟失或被盜的公司使用。它可用于遠程定位和鎖定設備,以及刪除文件。Lojack代表了一個偉大的雙重代理,因為它通常被認為是合法軟件,但也允許遠程代碼執行。
幾年前,據稱,意大利的監控軟件制造商Hacking Team使用UEFI rootkit來確保其軟件在目標系統上的持久性,但安全公司稱,沒有任何UEFI rootkit“在野外被發現”。
然而,最近發現的Fancy Bear活動改變了:演員能夠在受害者的系統上成功部署惡意UEFI模塊。ESET表示,這不僅證明UEFI rootkit是真正的威脅,而且還表明Fancy Bear可能比想象的更危險。
在過去十五年中活躍的演員,也被稱為APT28,Strontium,Sofacy和Sednit,據信已經策劃了各種高調的攻擊,例如在2016年美國選舉之前的DNC黑客攻擊。
今年早些時候,在感染了Turla的蚊子后門的系統上發現該組織的Zerbrocy惡意軟件后,安全研究人員得出結論,威脅行為者的活動與其他國家贊助的行動重疊。
LoJax UEFI Rootkit如何工作?
根據調查已經確定這個惡意行為者在將惡意UEFI模塊寫入系統的SPI閃存時至少成功了一次。此模塊能夠在引導過程中刪除并執行磁盤上的惡意軟件。這種持久性方法特別具有侵入性,因為它不僅可以在重新安裝操作系統后繼續使用,而且還可以替換硬盤。這是一份報告中的表示。
5月,Fancy Bear被發現在他們的攻擊中濫用了LoJack(該工具的特洛伊木馬版本,ESET稱之為LoJax)。對活動的深入分析不僅揭示了演員試圖模仿該工具的持久性方法,而且還使用了其他工具來訪問和修改UEFI/BIOS設置。
這些包括內核驅動程序和三個工具:
(1)轉儲有關低級系統設置的信息;
(2)保存系統固件的映像;
(3)將惡意UEFI模塊添加到映像。然后,第三個工具將修改后的固件映像寫回SPI閃存,從而有效地在系統上安裝UEFI rootkit。
如果平臺允許對SPI閃存進行寫操作,它將繼續寫入。如果沒有,它實際上實現了對已知漏洞的攻擊。
UEFI rootkit旨在將惡意軟件丟棄到Windows操作系統分區上,并確保它在啟動時執行。
觀察到的LoJax樣本使用了先前與Fancy Bear的SedUploader第一階段后門相關聯的命令和控制(C&C)服務器,結合了受LoJax感染的計算機上的其他Sednit工具(SedUploader,XAgent后門和Xtunnel網絡代理工具),暗示這個威脅演員是在攻擊背后。
如何保護您的計算機免受Rootkit的侵害
1)正如安全研究人員所說,沒有簡單的方法可以自動從系統中刪除此威脅。
2)由于UEFI rootkit未正確簽名,因此用戶可以通過啟用安全啟動機制來保護自己免受LoJax感染,從而確保系統固件加載的每個組件都使用有效證書進行了正確簽名。
3)如果您已經感染了此類惡意軟件,則刪除rootkit的唯一方法是使用特定于主板的干凈固件映像重新刷新SPI閃存,這是一個非常精細的過程,必須手動并仔細執行。
4)替換重新刷新UEFI/BIOS,您可以直接更換受損系統的主板。
總結
LoJax活動表明,高價值目標是部署罕見甚至是獨特威脅的主要候選人,而且這些目標應始終關注妥協的跡象。此外,這項研究告訴我們的一件事是,盡可能深入挖掘是非常重要的!
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
