總部位于斯洛伐克布拉迪斯拉發(fā)的世界知名電腦安全軟件公司ESET于本周四(9月27日)發(fā)布的一份題為《LOJAX ：First UEFI rootkit found in the wild, courtesy of the Sednit group》的白皮書中公開披露了據(jù)稱是第一個在現(xiàn)實攻擊活動中被捕獲的UEFI rootkit，它具備很強的生存能力，即使是在受害者重裝系統(tǒng)、更換硬盤之后也依然能夠存活。

什么是UEFI rootkit?

無論是“UEFI”還是“Rootkit”，有些讀者可能都會對它們感到陌生。沒關(guān)系，百度百科已經(jīng)給了我們較詳細的科普。

UEFI，全稱“統(tǒng)一可擴展固件接口(Unified Extensible Firmware Interface)”，是一種詳細描述類型接口的標準。這種接口用于操作系統(tǒng)自動從預(yù)啟動的操作環(huán)境，加載到一種操作系統(tǒng)上。它是傳統(tǒng)BIOS的替代品，是計算機的核心和關(guān)鍵固件組件。

[[245173]]

Rootkit，一種特殊的惡意軟件，它的功能是在安裝目標上隱藏自身及指定的文件、進程和網(wǎng)絡(luò)鏈接等信息，通常與木馬、后門等其他惡意程序結(jié)合使用。

在了解了這兩個關(guān)鍵名詞之后，相信大家對UEFI rootkit就已經(jīng)有了一個初步的概念。它實質(zhì)上就是一種能夠攻擊UEFI固件的計算機病毒，而下面要介紹的就是最新被發(fā)現(xiàn)的一個UEFI rootkit——Lojax。

LoJax與APT28有關(guān)

ESET的安全研究人員表示，被稱為LoJax的UEFI rootkit不出意外應(yīng)該是臭名昭著的Sednit組織(又名APT28、Fancy Bear、Strontium和Sofacy)所進行的惡意軟件活動的一部分，目標是巴爾干以及歐洲中東部的幾個政府組織。

Sednit組織至少開始運營于2007年，且被認為是一個有著國家背景的黑客組織，據(jù)信是俄羅斯軍事情報機構(gòu)GRU(General Staff Main Intelligence Directorate)的一個部門。該黑客組織與許多轟動一時的網(wǎng)絡(luò)攻擊事件有關(guān)，包括在美國2016年總統(tǒng)大選之前針對美國民主黨全國委員會(DNC)的攻擊。

為什么被稱作LoJax?

根據(jù)ESET研究人員的說法，LoJax原本是Absolute Software公司在2017年初推出的一款深受用戶歡迎的合法筆記本電腦防盜軟件，能夠向用戶報告其筆記本電腦的實時位置。即使是在操作系統(tǒng)被重新安裝或者硬盤被更換的情況下依然能夠工作，而這是通過LoJax軟件將其代理安裝到系統(tǒng)的BIOS中來實現(xiàn)的。

此次被公開披露的這個UEFI rootkit便是黑客對LoJax軟件稍作修改之后而來的，同樣具備覆蓋UEFI固件的能力，但改變了與Absolute Software服務(wù)器通信的后臺進程，使得它會向Sednit組織的C&C服務(wù)器進行報告。

在分析了LoJax惡意軟件樣本之后，研究人員發(fā)現(xiàn)Sednit組織使用了一個名為“ReWriter_binary”的組件來重寫易受攻擊的UEFI芯片——用他們的惡意代碼替換了芯片供應(yīng)商的代碼。

LoJax很難被清除

LoJax惡意軟件能夠?qū)阂釻EFI固件副本寫入系統(tǒng)的SPI閃存，允許BIOS固件在啟動過程中在計算機硬盤內(nèi)部安裝和執(zhí)行惡意軟件。具體來說，這個UEFI rootkit在實施攻擊的過程中，會涉及到使用多個模塊以及多種攻擊方法。

在攻擊開始之前，它會先釋放模塊用于收集固件的詳細信息，然后通過讀取UEFI固件所在的SPI閃存模塊來創(chuàng)建攜帶LoJax惡意軟件的固件副本，接著再將副本寫回到系統(tǒng)的SPI閃存。

在完成了最后的步驟之后，這個UEFI rootkit也就擁有了對設(shè)備和操作系統(tǒng)造成持續(xù)性破壞的能力。即使是被發(fā)現(xiàn)，受害者也不會有太好的辦法來處理它。

簡單來說，Lojax惡意軟件被安裝在目標系統(tǒng)的底層深處。也正是因為如此，它具備很強的生存能力——能夠在操作系統(tǒng)啟動之前重新感染系統(tǒng)。因此，即使是重新安裝操作系統(tǒng)、格式化硬盤，甚至是更換新硬盤都不足以清除這種感染。

如何清除、如何防御?

ESET的安全研究人員表示，清除此類UEFI rootkit的唯一方法是使用合法軟件刷新被感染的固件。然而，對于大多數(shù)普通計算機用戶而言，這通常不會是一項簡單的任務(wù)。

值得慶幸的是，研究人員指出，由于這個UEFI rootkit并沒有正確的簽名，因此大家可以通過啟用安全啟動機制來保護自己的計算機免受LoJax惡意軟件的感染，從而確保系統(tǒng)固件加載的每一個組件都使用的是有效證書并進行了正確的簽名。

如果你已經(jīng)感染了該惡意軟件，那么你能做的也就只剩下使用對應(yīng)主板的干凈固件映像重新刷新SPI閃存。這是一個非常繁瑣的過程，必須手動進行且需要掌握相應(yīng)的專業(yè)知識。當然，這里還有一個更簡單、直接的辦法——更換受感染的主板。