據(jù)安全研究人員聲稱，俄羅斯網(wǎng)絡(luò)間諜組織Fancy Bear是第一個在惡意攻擊中使用統(tǒng)一可擴展固件接口（UEFI）rootkit的威脅演員。

Lojack以前稱為Computrace，是一種合法的筆記本電腦恢復(fù)解決方案，供尋求保護資產(chǎn)丟失或被盜的公司使用。它可用于遠程定位和鎖定設(shè)備，以及刪除文件。Lojack代表了一個偉大的雙重代理，因為它通常被認(rèn)為是合法軟件，但也允許遠程代碼執(zhí)行。

幾年前，據(jù)稱，意大利的監(jiān)控軟件制造商Hacking Team使用UEFI rootkit來確保其軟件在目標(biāo)系統(tǒng)上的持久性，但安全公司稱，沒有任何UEFI rootkit“在野外被發(fā)現(xiàn)”。

然而，最近發(fā)現(xiàn)的Fancy Bear活動改變了：演員能夠在受害者的系統(tǒng)上成功部署惡意UEFI模塊。ESET表示，這不僅證明UEFI rootkit是真正的威脅，而且還表明Fancy Bear可能比想象的更危險。

在過去十五年中活躍的演員，也被稱為APT28，Strontium，Sofacy和Sednit，據(jù)信已經(jīng)策劃了各種高調(diào)的攻擊，例如在2016年美國選舉之前的DNC黑客攻擊。

今年早些時候，在感染了Turla的蚊子后門的系統(tǒng)上發(fā)現(xiàn)該組織的Zerbrocy惡意軟件后，安全研究人員得出結(jié)論，威脅行為者的活動與其他國家贊助的行動重疊。

LoJax UEFI Rootkit如何工作？

根據(jù)調(diào)查已經(jīng)確定這個惡意行為者在將惡意UEFI模塊寫入系統(tǒng)的SPI閃存時至少成功了一次。此模塊能夠在引導(dǎo)過程中刪除并執(zhí)行磁盤上的惡意軟件。這種持久性方法特別具有侵入性，因為它不僅可以在重新安裝操作系統(tǒng)后繼續(xù)使用，而且還可以替換硬盤。這是一份報告中的表示。

5月，F(xiàn)ancy Bear被發(fā)現(xiàn)在他們的攻擊中濫用了LoJack（該工具的特洛伊木馬版本，ESET稱之為LoJax）。對活動的深入分析不僅揭示了演員試圖模仿該工具的持久性方法，而且還使用了其他工具來訪問和修改UEFI/BIOS設(shè)置。

這些包括內(nèi)核驅(qū)動程序和三個工具：

（1）轉(zhuǎn)儲有關(guān)低級系統(tǒng)設(shè)置的信息；

（2）保存系統(tǒng)固件的映像；

（3）將惡意UEFI模塊添加到映像。然后，第三個工具將修改后的固件映像寫回SPI閃存，從而有效地在系統(tǒng)上安裝UEFI rootkit。

如果平臺允許對SPI閃存進行寫操作，它將繼續(xù)寫入。如果沒有，它實際上實現(xiàn)了對已知漏洞的攻擊。

UEFI rootkit旨在將惡意軟件丟棄到Windows操作系統(tǒng)分區(qū)上，并確保它在啟動時執(zhí)行。

觀察到的LoJax樣本使用了先前與Fancy Bear的SedUploader第一階段后門相關(guān)聯(lián)的命令和控制（C＆C）服務(wù)器，結(jié)合了受LoJax感染的計算機上的其他Sednit工具（SedUploader，XAgent后門和Xtunnel網(wǎng)絡(luò)代理工具），暗示這個威脅演員是在攻擊背后。

如何保護您的計算機免受Rootkit的侵害

1）正如安全研究人員所說，沒有簡單的方法可以自動從系統(tǒng)中刪除此威脅。

2）由于UEFI rootkit未正確簽名，因此用戶可以通過啟用安全啟動機制來保護自己免受LoJax感染，從而確保系統(tǒng)固件加載的每個組件都使用有效證書進行了正確簽名。

3）如果您已經(jīng)感染了此類惡意軟件，則刪除rootkit的唯一方法是使用特定于主板的干凈固件映像重新刷新SPI閃存，這是一個非常精細(xì)的過程，必須手動并仔細(xì)執(zhí)行。

4）替換重新刷新UEFI/BIOS，您可以直接更換受損系統(tǒng)的主板。

總結(jié)

LoJax活動表明，高價值目標(biāo)是部署罕見甚至是獨特威脅的主要候選人，而且這些目標(biāo)應(yīng)始終關(guān)注妥協(xié)的跡象。此外，這項研究告訴我們的一件事是，盡可能深入挖掘是非常重要的！