防盗软件遭改造为UEFI Rootkit恶意程式,入侵主机板韧体且难以移除
2018-10-01 18:32:24 | 来源:ithome | 投稿:小艾 | 编辑:dations

原标题:防盗软件遭改造为UEFI Rootkit恶意程式,入侵主机板韧体且难以移除

资安厂商Eset发现Sednit△APT骇客集团使用称为LoJax的UEFI△Rootkit恶意程式,对巴尔干半岛、中欧和东欧的部分政府组织发动攻击。Eset表示,这是第一次发现野生的UEFI△Rootkit,而且除非靠刷新主机板SPI快闪记忆体,...

资安厂商Eset发现Sednit△APT骇客集团使用称为LoJax的UEFI△Rootkit恶意程式,对巴尔干半岛、中欧和东欧的部分政府组织发动攻击。Eset表示,这是第一次发现野生的UEFI△Rootkit,而且除非靠刷新主机板SPI快闪记忆体,否则没有任何简单的方法可以排除。

这个称为LoJax的UEFI△Rootkit恶意程式,前身为LoJack的防盗软件,更早期的软件名称为Computrace。一旦Computrace服务被启用,便会回呼其C△C伺服器,当安装Computrace的电脑遭窃,拥有者便能获取通知,知道电脑的所在位置。由于Computrace为了要避免系统被盗后,以重新安装或是更换硬盘的方法被移除,因此实作了UEFI模组,使其能够在这些情况下留存下来。这个软件被预先安装在各种由OEM厂商制造的笔记型电脑的韧体中,等待使用者启用,不过,也因为Computrace不寻常的耐久性方法,引起了安全社交的注意。

在今年5月的时候,Arbor△Networks发现了几只被木马化的LoJack代理程式,由于这些程式与恶意C△C伺服器连线,而非Absolute△Software官方合法的伺服器连线,因此被认为是经过改造的恶意程式。Eset提到,在他们发现的UEFI△Rootkit样本中,有一些域名已经于2017年底,被用在Sednit集团SedUploader后门程式的C&C伺服器,而这次由于是LoJack代理程式的恶意使用,因此称为LoJax。

Eset表示,UEFI△Rootkit是非常危险的恶意程式,因为不只难以检测,而且能在多种安全措施中存活下来,多数的UEFI△Rootkit都只是概念性验证,在之前没有任何的野生UEFI△Rootkit被侦测过,直到最近他们从受害者的电脑中,找到成功部署的UEFI△Rootkit恶意程式。这个事件有两个值得注意的重点,首先,UEFI△Rootkit不再只是传说,而是真正的威胁。第二,这波行动可能只是Sednit△APT骇客集团的一个起头,对于Sednit瞄准的对象是一个警示。目前Eset发现,LoJax正被用来对巴尔干半岛、中欧和东欧的部分政府组织发动攻击。

根据Eset的调查,他们确定骇客已经成功将UEFI模组写入系统SPI快闪记忆体中,其模组能够在系统开机程序中执行恶意程式,而且除非刷新UEFI韧体否则无法清除,但是一般使用者鲜少进行这样的动作。Eset提到,Sednit的UEFI△Rootkit并没有适当的签章,因此安全启动(Secure△Boot)机制是可以阻止这类攻击的,当启用安全启动后,所有韧体的元件被载入时,都需要正确的签章,这能对UEFI韧体攻击进行最基本防御。

在必要的时候,更新系统韧体也会是一个选项,确保主机板使用最新版本的UEFI,可以减少因为韧体漏洞,产生未经授权写入的机会。Eset提到,要修复基于UEFI的感染并非简单的事,现在没有自动的方法可以移除该恶意程式,受害者必须要以安全的韧体映像档刷新SPI快闪记忆体才行。另外,这个攻击影响较旧的晶片组,因此确保关键系统使用2008年后,英特尔5系列内建Platform△Controller△Hub的更新晶片组,也能避免遭受攻击。

tags:

上一篇  下一篇

相关:

B&O 发表 社交软件 Friends 熊大限量版 Beoplay B2 无线扬声器 | 香港 UNWIRE.HK 玩澳门永利娱乐网站.乐科技

提起 LINE Friends 精品,大家可能会想到便利店换领的礼品,其实 LINE 在建立品牌形象还是非常努力的。最近他们就宣布跟高级音响品牌 Bang & Olufsen 合作,推出全新的限量版熊大产品,粉丝们可以于包括香港在内的市

社交软件台湾举办首届骇客松,冠军队伍IQ智能战队将社交软件变成澳门永利娱乐网站提醒小帮手,将前进日本与多国开发较劲

社交软件台湾首次举办骇客松—LINE△HACK△2018 图片来源: 摄影 / 李静宜 社交软件台湾在昨天(9/29)与今天(9/30)首次举办骇客松LINE△HACK△2018,在81组书面报名参加的队伍中,精选出10 组队伍进行现场决赛,

卡巴斯基:我们理解 iOS 不需要防毒软件 | 香港 UNWIRE.HK 玩澳门永利娱乐网站.乐科技

近日卡巴斯基官方日志“Kaspersky lab daily”发表文章,指该公司并没有在 iOS 平台发布任何防毒软件,原因是苹果认为 iOS 在设计阶段已为资料安全作为核心,并不需要防毒软件,故此不批准所有防毒软件在 App Store

企业版恶意程式分析服务VirusTotal Enterprise上线,搜寻速度快100倍

VirusTotal△Enterprise提供了Private△Graph私有图表功能,建立视觉化的恶意程式关系图。 图片来源: Chronicle Alphabet子公司Chronicle于本周四(9/27)发表了锁定大型企业的VirusTotal△Enterprise恶意程式分析

公租房失信人 [热事件]

公租房不是个人所有的,要知道这一点,公租房是由国家提供政策支持的,专门出租给中低收入的群体居住的。但是近日,公租房失信人管理机制和秩序出来了,违规家庭将会被纳入失信人名单。公租房怎么申请 租住公租房也是

推荐:

澳门永利娱乐网站