ESET研究人员首次发现可完整攻击UEFI固件的黑客集团

免费在线PDF转换器/编辑器、文档模板、思维导图,点击查看

安全厂商ESET旗下追踪持续网络威胁的研究人员日前首次发现可以完整攻击扩展固件接口 UEFI 的黑客集团

研究发现该黑客集团能够将病毒嵌入到目标计算机 SPI 闪存模块,若成功嵌入则用户可能将对病毒无计可施。

因为该病毒不但可以阻止用户重新安装操作系统,甚至用户更换硬盘都会导致整个设备无法正常启动和使用。

ESET研究人员首次发现可完整攻击UEFI固件的黑客集团

被命名为rootkit LoJax:

该病毒使用多个模块并利用多种方法来攻击UEFI固件,例如在攻击开始之前先释放模块收集固件的详细信息。

然后通过读取UEFI固件所在的SPI闪存模块来创建系统固件的副本,接着再将携带病毒的副本写回到SPI闪存。

完成最后步骤后该病毒即可持续性的威胁设备和操作系统,用户即便是发现该病毒也没有太好的办法去解决。

ESET研究人员首次发现可完整攻击UEFI固件的黑客集团

使用多种方式利用配置错误和漏洞:

RWEverything 是个非常知名的硬件信息读写工具,在这次攻击中黑客集团也利用RWEverything 提供读写。

该工具拥有正规的数字签名因此可以顺利的读写系统硬件信息,但这只是方便病毒成功进入固件的最初条件。

事实上该病毒最常利用的攻击方法还是UEFI 本身配置错误,这样可以比较方便的绕过SPI闪存的写保护机制。

如果用户配置正确病毒无法绕过写保护机制则会利用CVE-2014-8273 漏洞,该漏洞是UEFI很久之前的漏洞。

所以倘若你还在使用非常旧的硬件以及从未对固件进行更新过,那么即便UEFI固件配置正确也还是会被感染。

ESET研究人员首次发现可完整攻击UEFI固件的黑客集团

如何抵御rootkit Lojax类病毒:

开启安全启动检查机制是个非常不错的防御方式,该机制在系统启动时会预先检查所有组件是否有有效签名。

尽管该病毒会利用含有正常签名的读写工具到达固件,但该病毒本身并没有签名因此无法通过安全机制检查。

无法通过检查那么系统会自动丢弃该病毒,所以在最初启动时该病毒就会被成功干掉也无法再感染UEFI固件。

保持固件最新也很重要: 在这次案例里黑客集团不但利用UEFI配置错误也利用到了很多年前就被修复的漏洞。

所以及时更新固件是个非常重要的事情,更新固件的方法主要是是前往主板厂商官网下载对应的 BIOS 驱动。

本文来源 蓝点网 原创,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 原创 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

3 条评论,访客:3 条,站长:0 条
  1. 木头科学二百五
    木头科学二百五发布于: 
    Google Chrome 69.0.3497.92 Google Chrome 69.0.3497.92 GNU/Linux x64 GNU/Linux x64

    但是用 linux 的话就没法开启安全启动了。。。真是十分尴尬!

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 69.0.3497.100 Google Chrome 69.0.3497.100 Windows 10 64位版 Windows 10 64位版

      好在 这个病毒只针对Windows

  2. walkingdead
    walkingdead发布于: 
    Google Chrome 69.0.3497.100 Google Chrome 69.0.3497.100 Windows 10 64位版 Windows 10 64位版

    老电脑主板厂商发布后一两年就已经停止更新了

发表评论