卡巴斯基安全研究人員報告指出,他們發現了一種會感染電腦 UEFI 韌體的新型 bootkit 威脅。
bootkit 會將病毒程式碼放到硬碟的 EFI 系統分區,但糟糕的是,受害者無法透過簡單操作來移除 New MoonBounce UEFI bootkit —— 由於它寄生在UEFI韌體中,因此就算重新格式化硬碟或重新安裝作業系統可能都無法移除它。
MoonBounce 感染流程(圖自:Kaspersky 官網)
卡巴斯基在近日的一篇 SecureList 文章中寫道,作為其迄今接觸到的第三個 UEFI bootkit 威脅(前兩個是 LoJax 和 MosaicRegressor),該 bootkit 會感染並儲存於 SPI 快閃記憶體。
隨著 MoonBounce 的曝光,研究人員還在最近幾個月裡瞭解到了其它 UEFI 引導包(ESPectre、FinSpy 等)。這意味著此前無法透過 UEFI 做到的事情,現在正在逐漸成為「新常態」。
比如傳統 bootkit 威脅可嘗試透過重裝系統或更換硬碟來解決,而 MoonBounce 則必須刷新 SPI 快閃記憶體儲存區(操作相當複雜)或換主機板。
至於 MoonBounce 本身,研究發現它已被用於維持對受感染主機的感染、並在後續的(第二階段)惡意軟體部署過程中發揮各種可執行的特性。
慶幸的是,目前卡巴斯基僅在某家運輸服務企業的網路上看到一次 MoonBounce 部署、且基於部署在受感染的網路上的其它惡意軟體而實現。
通過一番調查分析,其認為製作者很可能來自 APT41 ,此為中國駭客集團。此外受害者網路上發現的其它惡意軟體,也被發現與同一服務基礎設施開展通信,意味其很可能借此來接收指令。
剩下的問題是,該 bootkit 最初到底是如何被安裝的?如上圖所示,wbemcomn.dll 文件中被附加了 IAT 條目,可在 WMI 服務啟動時強制加載 Stealth Vector 。
有鑑於此,卡巴斯基團隊建議 IT 管理員定期更新 UEFI 韌體、並驗證 BootGuard(如果適用)是否已啟用。有條件的話,更可借助 TPM 可信賴平台模組來加強硬體保障。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!