易坊好文馆

  1. 首页 > 玩科技 >

安全|卡巴斯基曝光新型bootkit恶意软件威胁 无法通过重装或换硬盘解决

卡巴斯基安全研究人员周四报道称,他们刚刚发现了一种会感染计算机 UEFI 固件的新型 bootkit 威胁 。据悉,同类 bootkit 通常会将代码放到硬盘的 EFI 系统分区 。但糟糕的是,受害者无法通过简单操作来移除 New MoonBounce UEFI bootkit —— 因为它感染的是主板上的 SPI 缺陷存储区 。
安全|卡巴斯基曝光新型bootkit恶意软件威胁 无法通过重装或换硬盘解决
文章图片

MoonBounce 感染流程(图自:Kaspersky 官网)
卡巴斯基在近日的一篇 SecureList 文章中写道,作为其迄今接触到的第三个 UEFI bootkit 威胁(前两个是 LoJax 和 MosaicRegressor),该 bootkit 会感染并存储于 SPI 区域 。
【安全|卡巴斯基曝光新型bootkit恶意软件威胁 无法通过重装或换硬盘解决】随着 MoonBounce 的曝光,研究人员还在最近几个月里了解到了其它 UEFI 引导包(ESPectre、FinSpy 等) 。这意味着此前无法通过 UEFI 做到的事情,现在正在逐渐成为“新常态” 。
比如传统 bootkit 威胁可尝试通过重装系统或更换硬盘来轻松规避,而 MoonBounce 则必须刷新 SPI 存储区(操作相当复杂)或换主板 。
至于 MoonBounce 本身,研究发现它已被用于维持对受感染主机的访问、并在后续的(第二阶段)恶意软件部署过程中发挥各种可执行的特性 。
安全|卡巴斯基曝光新型bootkit恶意软件威胁 无法通过重装或换硬盘解决
文章图片

庆幸的是,目前卡巴斯基仅在某家运输服务企业的网络上看到一次 MoonBounce 部署、且基于部署在受感染的网络上的其它恶意软件而实现 。
通过一番调查分析,其认为制作者很可能来自 APT41。此外受害者网络上发现的其它恶意软件,也被发现与同一服务基础设施开展通信,意味其很可能借此来接收指令 。
剩下的问题是,该 bootkit 最初到底是如何被安装的?如上图所示,wbemcomn.dll 文件中被附加了 IAT 条目,可在 WMI 服务启动时强制加载 Stealth Vector。
有鉴于此,卡巴斯基团队建议 IT 管理员定期更新 UEFI 固件、并验证 BootGuard(如果适用)是否已启用 。有条件的话,更可借助 TPM 可信平台模块来加强硬件保障 。

    推荐阅读


    上一篇:视点·观察|离职报告多写3个字赔公司2.9万引热议:网上下载的模板

    下一篇:Smartisan|老罗直播间回应锤子科技撤回全部破产申请:已与相关债权方和解