[情報] 防盜軟體遭改造為UEFI Rootkit惡意程式，

防盜軟體遭改造為UEFI Rootkit惡意程式，入侵主機板韌體且難以移除 文/李建興 | 2018-10-01發表 資安廠商Eset發現Sednit APT駭客集團使用稱為LoJax的UEFI Rootkit惡意程式，對巴爾 幹半島、中歐和東歐的部分政府組織發動攻擊。Eset表示，這是第一次發現野生的UEFI Rootkit，而且除非靠刷新主機板SPI快閃記憶體，否則沒有任何簡單的方法可以排除。 這個稱為LoJax的UEFI Rootkit惡意程式，前身為LoJack的防盜軟體，更早期的軟體名稱 為Computrace。一旦Computrace服務被啟用，便會回呼其C&C伺服器，當安裝Computrace 的電腦遭竊，擁有者便能獲取通知，知道電腦的所在位置。由於Computrace為了要避免系 統被盜後，以重新安裝或是更換硬碟的方法被移除，因此實作了UEFI模組，使其能夠在這 些情況下留存下來。這個軟體被預先安裝在各種由OEM廠商製造的筆記型電腦的韌體中， 等待使用者啟用，不過，也因為Computrace不尋常的耐久性方法，引起了安全社群的注意 。 在今年5月的時候，Arbor Networks發現了幾隻被木馬化的LoJack代理程式，由於這些程 式與惡意C&C伺服器連線，而非Absolute Software官方合法的伺服器連線，因此被認為是 經過改造的惡意程式。Eset提到，在他們發現的UEFI Rootkit樣本中，有一些域名已經於 2017年底，被用在Sednit集團SedUploader後門程式的C＆C伺服器，而這次由於是LoJack 代理程式的惡意使用，因此稱為LoJax。 Eset表示，UEFI Rootkit是非常危險的惡意程式，因為不只難以檢測，而且能在多種安全 措施中存活下來，多數的UEFI Rootkit都只是概念性驗證，在之前沒有任何的野生UEFI Rootkit被偵測過，直到最近他們從受害者的電腦中，找到成功部署的UEFI Rootkit惡意 程式。這個事件有兩個值得注意的重點，首先，UEFI Rootkit不再只是傳說，而是真正的 威脅。第二，這波行動可能只是Sednit APT駭客集團的一個起頭，對於Sednit瞄準的對象 是一個警示。目前Eset發現，LoJax正被用來對巴爾幹半島、中歐和東歐的部分政府組織 發動攻擊。 根據Eset的調查，他們確定駭客已經成功將UEFI模組寫入系統SPI快閃記憶體中，其模組 能夠在系統開機程序中執行惡意程式，而且除非刷新UEFI韌體否則無法清除，但是一般使 用者鮮少進行這樣的動作。Eset提到，Sednit的UEFI Rootkit並沒有適當的簽章，因此安 全啟動（Secure Boot）機制是可以阻止這類攻擊的，當啟用安全啟動後，所有韌體的元 件被載入時，都需要正確的簽章，這能對UEFI韌體攻擊進行最基本防禦。 在必要的時候，更新系統韌體也會是一個選項，確保主機板使用最新版本的UEFI，可以減 少因為韌體漏洞，產生未經授權寫入的機會。Eset提到，要修復基於UEFI的感染並非簡單 的事，現在沒有自動的方法可以移除該惡意程式，受害者必須要以安全的韌體映像檔刷新 SPI快閃記憶體才行。另外，這個攻擊影響較舊的晶片組，因此確保關鍵系統使用2008年 後，英特爾5系列內建Platform Controller Hub的更新晶片組，也能避免遭受攻擊。 https://www.ithome.com.tw/news/126208 至少這十年內的主機應該是不會有甚麼影響啦 不過與當時的CIH相比好像又有一點人性了。至少不是把整個EFI韌體洗掉連開機都不行了 -- 作者 KotoriCute (Lovelive!) 看板 PC_Shopping 標題 [情報] VEGA 56 vs 1070 部分遊戲的成績 時間 Thu Aug 3 09:59:24 2017 --
※ 批踢踢實業坊(ptt.cc), 來自: 122.116.4.227
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1538498363.A.986.html

推 c52chungyuny: 去找一張比自己便宜快一萬的卡火拼 丟臉到極點08/03 10:06

→ c52chungyuny: 那我也可以說1070狂肛460阿08/03 10:06

→ abc21086999 : 躲到BIOS內的病毒？ 10/03 00:43

推 reon : 推CIH! 10/03 00:45

推 WeAntiTVBS : 安裝系統時記得要注意Secret Boot有沒有Enabled 10/03 01:05

→ WeAntiTVBS : 主要是有UEFI的作業系統 Win8以上 以及Win10 10/03 01:05

推 luuuking : 看不太懂，所以這是在癱瘓電腦還是偷資料? 10/03 01:09

→ hn9480412 : 現在只能知道他會暗中建立一些程式，但目前沒有任何 10/03 01:16

→ hn9480412 : 的動作 10/03 01:17

推 estupid : 中毒就重灌這招就不管用了吧 10/03 01:18

→ hn9480412 : 這種的就只能送回原廠重燒EFI韌體吧 10/03 01:23

→ WeAntiTVBS : 部分大廠遇到這種送回去重燒要收費吧 10/03 01:41

→ as920909 : LGA775(含)以前的系統才會中招 10/03 02:32

推 pikach18 : 不支援UEFI的主機板也不會中招吧？ 10/03 02:56

推 hcwang1126 : bios vendor都會修這個問題 10/03 06:35

→ hcwang1126 : 至於板廠有没有出patch 消費者更新 10/03 06:37

→ hcwang1126 : 另外一個故事 10/03 06:37

→ laechan : 搜不搜尋的出來是一回事,"感染後"總是會知道吧,再由 10/03 10:37

→ laechan : 感染模式或症狀就能知道是不是有這隻的存在 10/03 10:38

推 stephen2232 : 775有哪張版有支援uefi 10/03 10:41

→ hn9480412 : 企業和伺服器板子用EFI的時間遠比消費端板子還要早` 10/03 11:01

→ hn9480412 : 很多，至少在安騰是這樣啦 10/03 11:01

→ commandoEX : 微星有出一張efi版的P35 10/03 11:11

推 WeAntiTVBS : 華碩只有一張有Beta版的 P45 P5Q-Deluxe 10/03 11:13

推 ddrdod : MSI P35 Efinity跟現在的UEFI BIOS有差距嗎？ 10/03 13:02

推 Windcws9Z : 技嘉表示: 10/03 13:42