看板PC_Shopping
防盜軟體遭改造為UEFI Rootkit惡意程式,入侵主機板韌體且難以移除
文/李建興 | 2018-10-01發表
資安廠商Eset發現Sednit APT駭客集團使用稱為LoJax的UEFI Rootkit惡意程式,對巴爾
幹半島、中歐和東歐的部分政府組織發動攻擊。Eset表示,這是第一次發現野生的UEFI
Rootkit,而且除非靠刷新主機板SPI快閃記憶體,否則沒有任何簡單的方法可以排除。
這個稱為LoJax的UEFI Rootkit惡意程式,前身為LoJack的防盜軟體,更早期的軟體名稱
為Computrace。一旦Computrace服務被啟用,便會回呼其C&C伺服器,當安裝Computrace
的電腦遭竊,擁有者便能獲取通知,知道電腦的所在位置。由於Computrace為了要避免系
統被盜後,以重新安裝或是更換硬碟的方法被移除,因此實作了UEFI模組,使其能夠在這
些情況下留存下來。這個軟體被預先安裝在各種由OEM廠商製造的筆記型電腦的韌體中,
等待使用者啟用,不過,也因為Computrace不尋常的耐久性方法,引起了安全社群的注意
。
在今年5月的時候,Arbor Networks發現了幾隻被木馬化的LoJack代理程式,由於這些程
式與惡意C&C伺服器連線,而非Absolute Software官方合法的伺服器連線,因此被認為是
經過改造的惡意程式。Eset提到,在他們發現的UEFI Rootkit樣本中,有一些域名已經於
2017年底,被用在Sednit集團SedUploader後門程式的C&C伺服器,而這次由於是LoJack
代理程式的惡意使用,因此稱為LoJax。
Eset表示,UEFI Rootkit是非常危險的惡意程式,因為不只難以檢測,而且能在多種安全
措施中存活下來,多數的UEFI Rootkit都只是概念性驗證,在之前沒有任何的野生UEFI
Rootkit被偵測過,直到最近他們從受害者的電腦中,找到成功部署的UEFI Rootkit惡意
程式。這個事件有兩個值得注意的重點,首先,UEFI Rootkit不再只是傳說,而是真正的
威脅。第二,這波行動可能只是Sednit APT駭客集團的一個起頭,對於Sednit瞄準的對象
是一個警示。目前Eset發現,LoJax正被用來對巴爾幹半島、中歐和東歐的部分政府組織
發動攻擊。
根據Eset的調查,他們確定駭客已經成功將UEFI模組寫入系統SPI快閃記憶體中,其模組
能夠在系統開機程序中執行惡意程式,而且除非刷新UEFI韌體否則無法清除,但是一般使
用者鮮少進行這樣的動作。Eset提到,Sednit的UEFI Rootkit並沒有適當的簽章,因此安
全啟動(Secure Boot)機制是可以阻止這類攻擊的,當啟用安全啟動後,所有韌體的元
件被載入時,都需要正確的簽章,這能對UEFI韌體攻擊進行最基本防禦。
在必要的時候,更新系統韌體也會是一個選項,確保主機板使用最新版本的UEFI,可以減
少因為韌體漏洞,產生未經授權寫入的機會。Eset提到,要修復基於UEFI的感染並非簡單
的事,現在沒有自動的方法可以移除該惡意程式,受害者必須要以安全的韌體映像檔刷新
SPI快閃記憶體才行。另外,這個攻擊影響較舊的晶片組,因此確保關鍵系統使用2008年
後,英特爾5系列內建Platform Controller Hub的更新晶片組,也能避免遭受攻擊。
https://www.ithome.com.tw/news/126208
至少這十年內的主機應該是不會有甚麼影響啦
不過與當時的CIH相比好像又有一點人性了。至少不是把整個EFI韌體洗掉連開機都不行了
--
作者 KotoriCute (Lovelive!) 看板 PC_Shopping
標題 [情報] VEGA 56 vs 1070 部分遊戲的成績
時間 Thu Aug 3 09:59:24 2017
--
※ 批踢踢實業坊(ptt.cc), 來自: 122.116.4.227※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1538498363.A.986.html
推 c52chungyuny: 去找一張比自己便宜快一萬的卡火拼 丟臉到極點08/03 10:06
→ c52chungyuny: 那我也可以說1070狂肛460阿08/03 10:06
→ abc21086999 : 躲到BIOS內的病毒? 10/03 00:43
推 reon : 推CIH! 10/03 00:45
推 WeAntiTVBS : 安裝系統時記得要注意Secret Boot有沒有Enabled 10/03 01:05
→ WeAntiTVBS : 主要是有UEFI的作業系統 Win8以上 以及Win10 10/03 01:05
推 luuuking : 看不太懂,所以這是在癱瘓電腦還是偷資料? 10/03 01:09
→ hn9480412 : 現在只能知道他會暗中建立一些程式,但目前沒有任何 10/03 01:16
→ hn9480412 : 的動作 10/03 01:17
推 estupid : 中毒就重灌這招就不管用了吧 10/03 01:18
→ hn9480412 : 這種的就只能送回原廠重燒EFI韌體吧 10/03 01:23
→ WeAntiTVBS : 部分大廠遇到這種送回去重燒要收費吧 10/03 01:41
→ as920909 : LGA775(含)以前的系統才會中招 10/03 02:32
推 pikach18 : 不支援UEFI的主機板也不會中招吧? 10/03 02:56
推 hcwang1126 : bios vendor都會修這個問題 10/03 06:35
→ hcwang1126 : 至於板廠有没有出patch 消費者更新 10/03 06:37
→ hcwang1126 : 另外一個故事 10/03 06:37
→ laechan : 搜不搜尋的出來是一回事,"感染後"總是會知道吧,再由 10/03 10:37
→ laechan : 感染模式或症狀就能知道是不是有這隻的存在 10/03 10:38
推 stephen2232 : 775有哪張版有支援uefi 10/03 10:41
→ hn9480412 : 企業和伺服器板子用EFI的時間遠比消費端板子還要早` 10/03 11:01
→ hn9480412 : 很多,至少在安騰是這樣啦 10/03 11:01
→ commandoEX : 微星有出一張efi版的P35 10/03 11:11
推 WeAntiTVBS : 華碩只有一張有Beta版的 P45 P5Q-Deluxe 10/03 11:13
推 ddrdod : MSI P35 Efinity跟現在的UEFI BIOS有差距嗎? 10/03 13:02
推 Windcws9Z : 技嘉表示: 10/03 13:42