防盜軟體遭改造為UEFI Rootkit惡意程式， - 3C

防盜軟體遭改造為UEFI Rootkit惡意程式，入侵主機板韌體且難以移除

文/李建興 | 2018-10-01發表

資安廠商Eset發現Sednit APT駭客集團使用稱為LoJax的UEFI Rootkit惡意程式，對巴爾
幹半島、中歐和東歐的部分政府組織發動攻擊。Eset表示，這是第一次發現野生的UEFI
Rootkit，而且除非靠刷新主機板SPI快閃記憶體，否則沒有任何簡單的方法可以排除。

這個稱為LoJax的UEFI Rootkit惡意程式，前身為LoJack的防盜軟體，更早期的軟體名稱
為Computrace。一旦Computrace服務被啟用，便會回呼其C&C伺服器，當安裝Computrace
的電腦遭竊，擁有者便能獲取通知，知道電腦的所在位置。由於Computrace為了要避免系
統被盜後，以重新安裝或是更換硬碟的方法被移除，因此實作了UEFI模組，使其能夠在這
些情況下留存下來。這個軟體被預先安裝在各種由OEM廠商製造的筆記型電腦的韌體中，
等待使用者啟用，不過，也因為Computrace不尋常的耐久性方法，引起了安全社群的注意
。

在今年5月的時候，Arbor Networks發現了幾隻被木馬化的LoJack代理程式，由於這些程
式與惡意C&C伺服器連線，而非Absolute Software官方合法的伺服器連線，因此被認為是
經過改造的惡意程式。Eset提到，在他們發現的UEFI Rootkit樣本中，有一些域名已經於
2017年底，被用在Sednit集團SedUploader後門程式的C＆C伺服器，而這次由於是LoJack
代理程式的惡意使用，因此稱為LoJax。

Eset表示，UEFI Rootkit是非常危險的惡意程式，因為不只難以檢測，而且能在多種安全
措施中存活下來，多數的UEFI Rootkit都只是概念性驗證，在之前沒有任何的野生UEFI
Rootkit被偵測過，直到最近他們從受害者的電腦中，找到成功部署的UEFI Rootkit惡意
程式。這個事件有兩個值得注意的重點，首先，UEFI Rootkit不再只是傳說，而是真正的
威脅。第二，這波行動可能只是Sednit APT駭客集團的一個起頭，對於Sednit瞄準的對象
是一個警示。目前Eset發現，LoJax正被用來對巴爾幹半島、中歐和東歐的部分政府組織
發動攻擊。

根據Eset的調查，他們確定駭客已經成功將UEFI模組寫入系統SPI快閃記憶體中，其模組
能夠在系統開機程序中執行惡意程式，而且除非刷新UEFI韌體否則無法清除，但是一般使
用者鮮少進行這樣的動作。Eset提到，Sednit的UEFI Rootkit並沒有適當的簽章，因此安
全啟動（Secure Boot）機制是可以阻止這類攻擊的，當啟用安全啟動後，所有韌體的元
件被載入時，都需要正確的簽章，這能對UEFI韌體攻擊進行最基本防禦。

在必要的時候，更新系統韌體也會是一個選項，確保主機板使用最新版本的UEFI，可以減
少因為韌體漏洞，產生未經授權寫入的機會。Eset提到，要修復基於UEFI的感染並非簡單
的事，現在沒有自動的方法可以移除該惡意程式，受害者必須要以安全的韌體映像檔刷新
SPI快閃記憶體才行。另外，這個攻擊影響較舊的晶片組，因此確保關鍵系統使用2008年
後，英特爾5系列內建Platform Controller Hub的更新晶片組，也能避免遭受攻擊。

https://www.ithome.com.tw/news/126208

至少這十年內的主機應該是不會有甚麼影響啦

不過與當時的CIH相比好像又有一點人性了。至少不是把整個EFI韌體洗掉連開機都不行了

--
作者 KotoriCute (Lovelive!) 看板 PC_Shopping
標題 [情報] VEGA 56 vs 1070 部分遊戲的成績
時間 Thu Aug 3 09:59:24 2017

--