俄羅斯網(wǎng)絡(luò)犯罪在攻擊中使用UEFI Rootkit區(qū)塊鏈
區(qū)塊鏈安全咨詢公司曲速未來消息:據(jù)安全研究人員聲稱,俄羅斯網(wǎng)絡(luò)間諜組織FancyBear是第一個在惡意攻擊中使用統(tǒng)一可擴展固件接口(UEFI)rootkit的威脅演員。
據(jù)安全研究人員聲稱,俄羅斯網(wǎng)絡(luò)間諜組織Fancy Bear是第一個在惡意攻擊中使用統(tǒng)一可擴展固件接口(UEFI)rootkit的威脅演員。
Lojack以前稱為Computrace,是一種合法的筆記本電腦恢復(fù)解決方案,供尋求保護資產(chǎn)丟失或被盜的公司使用。它可用于遠程定位和鎖定設(shè)備,以及刪除文件。Lojack代表了一個偉大的雙重代理,因為它通常被認(rèn)為是合法軟件,但也允許遠程代碼執(zhí)行。
幾年前,據(jù)稱,意大利的監(jiān)控軟件制造商Hacking Team使用UEFI rootkit來確保其軟件在目標(biāo)系統(tǒng)上的持久性,但安全公司稱,沒有任何UEFI rootkit“在野外被發(fā)現(xiàn)”。
然而,最近發(fā)現(xiàn)的Fancy Bear活動改變了:演員能夠在受害者的系統(tǒng)上成功部署惡意UEFI模塊。ESET表示,這不僅證明UEFI rootkit是真正的威脅,而且還表明Fancy Bear可能比想象的更危險。
在過去十五年中活躍的演員,也被稱為APT28,Strontium,Sofacy和Sednit,據(jù)信已經(jīng)策劃了各種高調(diào)的攻擊,例如在2016年美國選舉之前的DNC黑客攻擊。
今年早些時候,在感染了Turla的蚊子后門的系統(tǒng)上發(fā)現(xiàn)該組織的Zerbrocy惡意軟件后,安全研究人員得出結(jié)論,威脅行為者的活動與其他國家贊助的行動重疊。
LoJax UEFI Rootkit如何工作?
根據(jù)調(diào)查已經(jīng)確定這個惡意行為者在將惡意UEFI模塊寫入系統(tǒng)的SPI閃存時至少成功了一次。此模塊能夠在引導(dǎo)過程中刪除并執(zhí)行磁盤上的惡意軟件。這種持久性方法特別具有侵入性,因為它不僅可以在重新安裝操作系統(tǒng)后繼續(xù)使用,而且還可以替換硬盤。這是一份報告中的表示。
5月,F(xiàn)ancy Bear被發(fā)現(xiàn)在他們的攻擊中濫用了LoJack(該工具的特洛伊木馬版本,ESET稱之為LoJax)。對活動的深入分析不僅揭示了演員試圖模仿該工具的持久性方法,而且還使用了其他工具來訪問和修改UEFI/BIOS設(shè)置。
這些包括內(nèi)核驅(qū)動程序和三個工具:
(1)轉(zhuǎn)儲有關(guān)低級系統(tǒng)設(shè)置的信息;
(2)保存系統(tǒng)固件的映像;
(3)將惡意UEFI模塊添加到映像。然后,第三個工具將修改后的固件映像寫回SPI閃存,從而有效地在系統(tǒng)上安裝UEFI rootkit。
如果平臺允許對SPI閃存進行寫操作,它將繼續(xù)寫入。如果沒有,它實際上實現(xiàn)了對已知漏洞的攻擊。
UEFI rootkit旨在將惡意軟件丟棄到Windows操作系統(tǒng)分區(qū)上,并確保它在啟動時執(zhí)行。
觀察到的LoJax樣本使用了先前與Fancy Bear的SedUploader第一階段后門相關(guān)聯(lián)的命令和控制(C&C)服務(wù)器,結(jié)合了受LoJax感染的計算機上的其他Sednit工具(SedUploader,XAgent后門和Xtunnel網(wǎng)絡(luò)代理工具),暗示這個威脅演員是在攻擊背后。
如何保護您的計算機免受Rootkit的侵害
1)正如安全研究人員所說,沒有簡單的方法可以自動從系統(tǒng)中刪除此威脅。
2)由于UEFI rootkit未正確簽名,因此用戶可以通過啟用安全啟動機制來保護自己免受LoJax感染,從而確保系統(tǒng)固件加載的每個組件都使用有效證書進行了正確簽名。
3)如果您已經(jīng)感染了此類惡意軟件,則刪除rootkit的唯一方法是使用特定于主板的干凈固件映像重新刷新SPI閃存,這是一個非常精細(xì)的過程,必須手動并仔細(xì)執(zhí)行。
4)替換重新刷新UEFI/BIOS,您可以直接更換受損系統(tǒng)的主板。
總結(jié)
LoJax活動表明,高價值目標(biāo)是部署罕見甚至是獨特威脅的主要候選人,而且這些目標(biāo)應(yīng)始終關(guān)注妥協(xié)的跡象。此外,這項研究告訴我們的一件事是,盡可能深入挖掘是非常重要的!
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會經(jīng)TMT觀察網(wǎng)編輯修改或補充。