研究人员发现了首个在野外使用UEFI rootkit的案例,这将活跃的UEFI利用的概念从一个会议主题变成了现实。
周四,ESET的研究人员表示,UEFI rootkit被发现与一个工具集捆绑在一起,该工具集可以修补受害者的系统固件,以便在这个深度安装恶意软件。
至少在一个记录案例中,恶意软件背后的威胁行动者能够将恶意UEFI模块写入系统的SPI闪存中,从而导致在引导过程中恶意代码在磁盘上被删除和执行。
这样做不仅可以绕过操作系统重新安装,而且还可以更换硬盘。清除这类恶意软件的唯一方法——假设受害者一开始就知道自己遭到了攻击——是刷新固件,这是一般用户不常做的事情。
根据ESET,所观察到的rootkit安装是在野外记录为活动的UEFI rootkit的第一个案例。
rootkit被高级持续威胁(APT)组织Fancy Bear使用,也被称为Sednit、APT28、STRONTIUM和Sofacy。
10 + 3至少从2004年开始运作。据称,该黑客组织受到俄罗斯政府的指使,与美国大选前对美国民主党全国委员会(DNC)、世界反兴奋剂机构(WADA)、田径联合会(IAAF)、德国政府和乌克兰军方等机构的攻击有关。
微软:我们刚刚搞砸了俄罗斯攻击美国2018年中期选举的计划
在周四的2018年微软BlueHat大会上,ESET的研究人员表示,APT过去使用过各种复杂的恶意软件和入侵工具,现在也在使用LoJax恶意软件来攻击欧洲的政府机构。
今年5月,NETSCOUT Arbor Networks进行并发表的研究表明,APT利用Absolute软件的LoJack(一种合法的笔记本电脑恢复解决方案)进行不法手段。
样本的LoJack软件被篡改,以确保硬编码的配置设置,小代理rpcnetp。exe将与由Fancy Bear控制的命令与控制(C2)服务器进行通信,而不是与合法的绝对软件服务器进行通信。
参见:英国首次发布与Facebook数据丑闻有关的GDPR通知
当用于合法目的时,软件会回调服务器,以提醒设备的所有者设备丢失或被盗。然后,所有者可以远程锁定系统并删除文件。
“LoJack是一个优秀的双代理,因为它是一个合法的软件,同时允许远程代码执行,”Arbor说。
修改后的版本被命名为LoJax,将其从绝对软件的合法解决方案中分离出来,但仍然以相同的方式实现——作为UEFI/BIOS模块,以防止操作系统擦除或硬盘替换。
扩展了这项工作,ESET说,恶意的UEFI模块现在被捆绑到攻击套件,可以访问和修补UEFI/BIOS设置。
这些工具使用一个内核驱动程序RwDrv。sys与RWEverything实用程序捆绑在一起,可以读取PC上的设置信息,比如PCI内存或rom。
这个恶意软件会窃取你的Twitter和Facebook账户
“由于这个内核驱动程序属于合法软件,它是用一个有效的代码签名证书签署的,”研究人员指出。
除了恶意软件,在Fancy Bear的新工具包中还发现了其他三种工具。一种是将有关PC设置的信息转储到文本文件中的工具;另一个目的是通过读取UEFI/BIOS所在的SPI闪存的内容来保存系统固件的映像;最后一个工具将恶意UEFI模块添加到固件镜像中,以便将其写回SPI闪存中。
根据研究人员的说法,这“有效地在系统上安装了UEFI rootkit”。
如果平台允许对SPI闪存进行写操作,那么这个特定的工具将对现有的固件进行补丁,从而允许rootkit直接安装;如果有保护措施,则将尝试使用已知的漏洞来完成其任务。
TechRepublic: Evrial Trojan可以窃取你的Windows剪贴板上保存的内容,包括比特币
然而,值得注意的是,被利用的漏洞只影响不包含平台控制器集线器的旧芯片组,该集线器是2008年在Intel Series 5芯片组中引入的。
UEFI rootkit本身就足以引起企业的注意。然而,由于rootkit没有正确地签名,启用Windows安全启动功能的目标系统将只允许加载已签名的固件,从而避免了漏洞。
“我们强烈建议你启用它,”ESET说。这是针对UEFI固件的基本防御,可以在启动时通过系统的UEFI设置启用。更新系统固件不应该是一个微不足道的恶意行为实现。”
许多LoJax小型代理C2服务器之前都链接到SedUploader,这是一种后门,在妥协的第一阶段,花哨的空头操作人员经常使用它。LoJax广告使用了XAgent(10 + 3的“旗舰”后门)和Xtunnel(网络代理工具),进一步强化了人们的一种看法,即新广告可归因于奇特的熊市黑客组织。
研究人员表示,UEFI rootkit的使用增加了黑客组织的严重性,并形成了“自己的联盟”。
“LoJax的行动表明,高价值目标是部署罕见的、甚至独特的威胁的主要候选目标,这样的目标应该始终关注妥协的迹象,”ESET补充说。