總部位于斯洛伐克布拉迪斯拉發(fā)的世界知名電腦安全軟件公司ESET于本周四(9月27日)發(fā)布的一份題為《LOJAX ：First UEFI rootkit found in the wild, courtesy of the Sednit group》的白皮書中公開披露了據(jù)稱是第一個(gè)在現(xiàn)實(shí)攻擊活動中被捕獲的UEFI rootkit，它具備很強(qiáng)的生存能力，即使是在受害者重裝系統(tǒng)、更換硬盤之后也依然能夠存活。

什么是UEFI rootkit?

無論是“UEFI”還是“Rootkit”，有些讀者可能都會對它們感到陌生。沒關(guān)系，百度百科已經(jīng)給了我們較詳細(xì)的科普。

UEFI，全稱“統(tǒng)一可擴(kuò)展固件接口(Unified Extensible Firmware Interface)”，是一種詳細(xì)描述類型接口的標(biāo)準(zhǔn)。這種接口用于操作系統(tǒng)自動從預(yù)啟動的操作環(huán)境，加載到一種操作系統(tǒng)上。它是傳統(tǒng)BIOS的替代品，是計(jì)算機(jī)的核心和關(guān)鍵固件組件。

[[245173]]

Rootkit，一種特殊的惡意軟件，它的功能是在安裝目標(biāo)上隱藏自身及指定的文件、進(jìn)程和網(wǎng)絡(luò)鏈接等信息，通常與木馬、后門等其他惡意程序結(jié)合使用。

在了解了這兩個(gè)關(guān)鍵名詞之后，相信大家對UEFI rootkit就已經(jīng)有了一個(gè)初步的概念。它實(shí)質(zhì)上就是一種能夠攻擊UEFI固件的計(jì)算機(jī)病毒，而下面要介紹的就是最新被發(fā)現(xiàn)的一個(gè)UEFI rootkit——Lojax。

LoJax與APT28有關(guān)

ESET的安全研究人員表示，被稱為LoJax的UEFI rootkit不出意外應(yīng)該是臭名昭著的Sednit組織(又名APT28、Fancy Bear、Strontium和Sofacy)所進(jìn)行的惡意軟件活動的一部分，目標(biāo)是巴爾干以及歐洲中東部的幾個(gè)政府組織。

Sednit組織至少開始運(yùn)營于2007年，且被認(rèn)為是一個(gè)有著國家背景的黑客組織，據(jù)信是俄羅斯軍事情報(bào)機(jī)構(gòu)GRU(General Staff Main Intelligence Directorate)的一個(gè)部門。該黑客組織與許多轟動一時(shí)的網(wǎng)絡(luò)攻擊事件有關(guān)，包括在美國2016年總統(tǒng)大選之前針對美國民主黨全國委員會(DNC)的攻擊。

為什么被稱作LoJax?

根據(jù)ESET研究人員的說法，LoJax原本是Absolute Software公司在2017年初推出的一款深受用戶歡迎的合法筆記本電腦防盜軟件，能夠向用戶報(bào)告其筆記本電腦的實(shí)時(shí)位置。即使是在操作系統(tǒng)被重新安裝或者硬盤被更換的情況下依然能夠工作，而這是通過LoJax軟件將其代理安裝到系統(tǒng)的BIOS中來實(shí)現(xiàn)的。

此次被公開披露的這個(gè)UEFI rootkit便是黑客對LoJax軟件稍作修改之后而來的，同樣具備覆蓋UEFI固件的能力，但改變了與Absolute Software服務(wù)器通信的后臺進(jìn)程，使得它會向Sednit組織的C&C服務(wù)器進(jìn)行報(bào)告。

在分析了LoJax惡意軟件樣本之后，研究人員發(fā)現(xiàn)Sednit組織使用了一個(gè)名為“ReWriter_binary”的組件來重寫易受攻擊的UEFI芯片——用他們的惡意代碼替換了芯片供應(yīng)商的代碼。

LoJax很難被清除

LoJax惡意軟件能夠?qū)阂釻EFI固件副本寫入系統(tǒng)的SPI閃存，允許BIOS固件在啟動過程中在計(jì)算機(jī)硬盤內(nèi)部安裝和執(zhí)行惡意軟件。具體來說，這個(gè)UEFI rootkit在實(shí)施攻擊的過程中，會涉及到使用多個(gè)模塊以及多種攻擊方法。

在攻擊開始之前，它會先釋放模塊用于收集固件的詳細(xì)信息，然后通過讀取UEFI固件所在的SPI閃存模塊來創(chuàng)建攜帶LoJax惡意軟件的固件副本，接著再將副本寫回到系統(tǒng)的SPI閃存。

在完成了最后的步驟之后，這個(gè)UEFI rootkit也就擁有了對設(shè)備和操作系統(tǒng)造成持續(xù)性破壞的能力。即使是被發(fā)現(xiàn)，受害者也不會有太好的辦法來處理它。

簡單來說，Lojax惡意軟件被安裝在目標(biāo)系統(tǒng)的底層深處。也正是因?yàn)槿绱?，它具備很?qiáng)的生存能力——能夠在操作系統(tǒng)啟動之前重新感染系統(tǒng)。因此，即使是重新安裝操作系統(tǒng)、格式化硬盤，甚至是更換新硬盤都不足以清除這種感染。

如何清除、如何防御?

ESET的安全研究人員表示，清除此類UEFI rootkit的唯一方法是使用合法軟件刷新被感染的固件。然而，對于大多數(shù)普通計(jì)算機(jī)用戶而言，這通常不會是一項(xiàng)簡單的任務(wù)。

值得慶幸的是，研究人員指出，由于這個(gè)UEFI rootkit并沒有正確的簽名，因此大家可以通過啟用安全啟動機(jī)制來保護(hù)自己的計(jì)算機(jī)免受LoJax惡意軟件的感染，從而確保系統(tǒng)固件加載的每一個(gè)組件都使用的是有效證書并進(jìn)行了正確的簽名。

如果你已經(jīng)感染了該惡意軟件，那么你能做的也就只剩下使用對應(yīng)主板的干凈固件映像重新刷新SPI閃存。這是一個(gè)非常繁瑣的過程，必須手動進(jìn)行且需要掌握相應(yīng)的專業(yè)知識。當(dāng)然，這里還有一個(gè)更簡單、直接的辦法——更換受感染的主板。