您一定聽說過惡意軟件的威力吧?它能夠在幾秒鐘內(nèi)破壞您的系統(tǒng)，盜取或是鎖死您的大量敏感文件。我們常見的惡意軟件有許多種，其中最危險的一類當(dāng)屬Moonbounce。

那么Moonbounce惡意軟件究竟是什么?我們怎么能夠保護自己以免受其傷害?如果已經(jīng)被感染，我們又該如何從系統(tǒng)中清除Moonbounce惡意軟件呢?下面，我將和您對這些問題展開深入探討。

什么是Moonbounce惡意軟件?

總的說來，Moonbounce惡意軟件是屬于特洛伊木馬病毒類別中的一種病毒。它是一種持久性的惡意軟件，就算磁盤驅(qū)動器被格式化、操作系統(tǒng)被重新安裝，它仍舊可以存在。也就是說，Moonbounce惡意軟件很難被常規(guī)的防病毒軟件識別和刪除。其原因在于，一旦Moonbounce惡意軟件獲得了對于目標(biāo)設(shè)備的訪問權(quán)限，它就會避開殺毒軟件查找系統(tǒng)異常時的常規(guī)路徑，而遷移到別處。

Moonbounce惡意軟件的工作原理

Moonbounce惡意軟件是一種特殊而復(fù)雜的引導(dǎo)工具包，它主要攻擊的是目標(biāo)計算機的主板固件，也就是被稱為統(tǒng)一可擴展固件接口(Unified Extensible Firmware Interface，UEFI)的部分。攻擊得手后，它對于計算機硬盤驅(qū)動器或操作系統(tǒng)所做的任何更改，都會被留存下來。

常言道“請神容易送神難”。不請自來的Moonbounce一旦進入了您的計算機系統(tǒng)，不但難以被發(fā)現(xiàn)，而且很難被清除。具體說來，Moonbounce在獲得訪問權(quán)限后，首先會釋放一組鉤子。這些鉤子會同時攔截設(shè)備的EFI引導(dǎo)服務(wù)表中多個函數(shù)的執(zhí)行情況。

然后，這些鉤子被用來轉(zhuǎn)移您的設(shè)備上各個函數(shù)調(diào)用的執(zhí)行，進而讓惡意軟件看上去符合計算機的CORE_DXE組件。隨后，它們會創(chuàng)建一個額外的鉤子，以便惡意軟件可以在系統(tǒng)啟動的時候，輕松地注入計算機系統(tǒng)。

下一個階段會出現(xiàn)在Windows設(shè)備完成引導(dǎo)之后。惡意軟件并不會滿足當(dāng)前持續(xù)、穩(wěn)定地訪問主機系統(tǒng)的狀態(tài)。它會通過部署新的惡意軟件，以進一步感染您的其他設(shè)備。

在Moonbounce惡意軟件的穩(wěn)定運行過程中，它還會將自身植入計算機主板的SPI接口的閃存中。其主要目的是，通過將惡意軟件部署和繁殖到已經(jīng)感染的設(shè)備上，以觸發(fā)各種后續(xù)的攻擊。

如何保護系統(tǒng)免受Moonbounce惡意軟件的侵害

為防止您的設(shè)備被Moonbounce惡意軟件感染或面臨類似的危險，您可以采取如下六個步驟：

1.安裝殺毒軟件

根據(jù)“祖訓(xùn)”，安裝防病毒軟件是保護系統(tǒng)免受威脅的最重要步驟之一。防病毒軟件會持續(xù)掃描您的計算機，以識別和刪除任何已識別的惡意軟件。同時，它還會通過執(zhí)行自動化的更新，以更好地防御各種新發(fā)現(xiàn)的病毒和其他惡意軟件可能產(chǎn)生的威脅。

2.定期更新軟件

您需要優(yōu)先更新已安裝的各種軟件，其中包括：操作系統(tǒng)、瀏覽器和應(yīng)用程序等。軟件制造商往往會致力于通過持續(xù)的滲透測試，來消減在其應(yīng)用程序中發(fā)現(xiàn)到的已知漏洞。

3. 僅從可信的來源獲取應(yīng)用程序

請確保僅從信譽良好的來源處，購買應(yīng)用程序和軟件產(chǎn)品。這將會使您的設(shè)備感染惡意軟件的可能性降至最低。

您可以通過檢查來源的有效性和信任度，來判斷應(yīng)用程序的安全性。例如：我們應(yīng)查看Google Play或Apple應(yīng)用商店內(nèi)，應(yīng)用描述中所提供的程序全名、已發(fā)布的應(yīng)用列表、以及聯(lián)系信息。在允許應(yīng)用程序被列出和顯示之前，這兩家商店都會去評估應(yīng)用程序的整體安全態(tài)勢。當(dāng)然，有些時候某些高級的惡意程序或有漏洞的平臺，也可能繞過此類檢查。不過，這樣的“白名單”機制，已經(jīng)能夠為我們過濾掉絕大部分的惡意軟件了。

4. 不要點擊可疑的鏈接

如果您出于某種原因懷疑某個鏈接的話，那么請一定不要點擊它。如今，網(wǎng)絡(luò)犯罪分子最常用的方法便是，克隆出一個帶有有危害鏈接的網(wǎng)站。這些鏈接一旦被點擊，就可以訪問到您的個人詳細信息，甚至在您單擊鏈接的同時，下載并傳播病毒。

近年來，網(wǎng)絡(luò)犯罪分子最采用的攻擊方法之一便是網(wǎng)絡(luò)釣魚。這同樣也是黑客用來將惡意軟件傳播到目標(biāo)設(shè)備上的最常用方法。網(wǎng)絡(luò)釣魚的主要使命是，誘使您打開消息、或單擊看似來自可靠來源的鏈接。此外，網(wǎng)絡(luò)釣魚鏈接所重定向的網(wǎng)站，通常還會向您索取更多的個人信息。

5.定期備份數(shù)據(jù)

總的說來，備份數(shù)據(jù)有助于防止個人信息的意外丟失，并能夠減少由勒索軟件勒索造成的數(shù)據(jù)可用性的喪失。如果您平時能夠保持定期備份重要數(shù)據(jù)的良好習(xí)慣，那么就算發(fā)生諸如Moonbounce惡意軟件攻擊之類的不幸事件時，您仍然可以通過備份，檢索到所有有價值的信息，并啟動數(shù)據(jù)的恢復(fù)過程。

6. 教育你的團隊

除了上述介紹的技術(shù)手段，我們還需要通過教育和培訓(xùn)之類的管理手段，讓相關(guān)人員運用基本意識和知識，識別各種惡意軟件和騙局。您可以向他們展示如何判斷待訪問的網(wǎng)站是否已經(jīng)過驗證，以及當(dāng)他們發(fā)現(xiàn)自己已經(jīng)在瀏覽未經(jīng)驗證的網(wǎng)站時，應(yīng)該采取何種操作。歸根結(jié)底，整個團隊了解的基本網(wǎng)絡(luò)攻擊特征和最佳實踐越多，企業(yè)和個人可能受到的惡意軟件攻擊的損失就越小。

如何應(yīng)對Moonbounce惡意軟件?

一旦您發(fā)現(xiàn)自己的系統(tǒng)中存在已激活的Moonbounce惡意軟件，那么它就很有可能已經(jīng)正在阻斷系統(tǒng)中各種文檔的正常訪問了。那么，我們該如何應(yīng)對Moonbounce惡意軟件的危害呢?

1.卸載流程

請在Windows操作系統(tǒng)界面上，單擊“開始”按鈕，然后將鼠標(biāo)懸停在電源按鈕上方(但不要點擊)，單擊“設(shè)置”，然后在列表中選擇、或是在上方的檢索區(qū)域內(nèi)查找“應(yīng)用程序和功能”。將出現(xiàn)的列表向下滾動，查找并定位Moonbounce或其他可疑的惡意軟件。最后右擊它們并選擇“卸載”。

2.刪除惡意擴展

除了軟件本身，我們也需要刪除那些可能與Moonbounce惡意軟件相關(guān)的、針對瀏覽器的惡意擴展。讓我們以Chrome瀏覽器為例，請在瀏覽器中單擊“自定義和控制Google Chrome”選項。在此，您可以找到與Moonbounce或其他惡意軟件相關(guān)的任何惡意擴展，接著您便可以單擊垃圾桶圖標(biāo)，將它們從系統(tǒng)中刪除掉。

完成后，您的系統(tǒng)中可能仍然存在著Moonbounce惡意軟件的痕跡。它們可以通過重新安裝的方式，在您的瀏覽器上死灰復(fù)燃。對此，我們需要借助其他安全查殺軟件，將其核心文件刪除干凈。

3.使用注冊表編輯器

您還可以使用Windows系統(tǒng)上的注冊表編輯器，刪除與惡意軟件相關(guān)的各種文件。為此，您可以同時按“Windows + R”，以啟動“運行”窗口。然后請輸入“Regedit”并單擊“確定”，以啟動注冊表編輯器。當(dāng)然，您需要事先驗證自己是否具有修改系統(tǒng)注冊表的權(quán)限。

在注冊表編輯器中，您可以依次選擇“編輯”->“查找”，然后輸入您想搜索的名稱關(guān)鍵字。如果出現(xiàn)多個相似名稱的條目的話，您可能需要多按幾次“下一個”。定位到您要查找的條目后，您可以在異常的惡意注冊表文件項上點擊右鍵，以刪除它。

4.重新檢查您的電腦

該階段的目標(biāo)應(yīng)該是消除所有惡意軟件復(fù)發(fā)的可能性。具體操作包括：在設(shè)備系統(tǒng)中，通過再次搜索，刪除任何剩余的Moonbounce非必需的組件。您同樣可以使用防病毒程序，來掃描自己的整個電腦。

5. 清除瀏覽器的劫持組件

有時候，狡猾的Moonbounce和其他惡意軟件可能會通過彈窗和屏幕通知的方式，誘使人們再次下載惡意軟件，進而讓惡意網(wǎng)站劫持您的瀏覽器。為了避免此類情況的發(fā)生，您需要將Web瀏覽器重置為默認設(shè)置，以消除可能被惡意軟件或剩余的廣告軟件劫持的情況。

小結(jié)

實際上，我們和攻擊者是在一個沒有硝煙的戰(zhàn)場上比拼著速度。一旦Moonbounce惡意軟件獲得了針對目標(biāo)主機系統(tǒng)的訪問權(quán)限，它就會在明里或暗里發(fā)起毀滅性的攻擊。因此，為了盡早地檢測到網(wǎng)絡(luò)和主機中的威脅，我們需要通過部署網(wǎng)絡(luò)安全措施，來積極、主動地發(fā)現(xiàn)和修補漏洞，避免蒙受服務(wù)中斷和數(shù)據(jù)丟失等損失。

譯者介紹

陳峻 (Julian Chen)，51CTO社區(qū)編輯，具有十多年的IT項目實施經(jīng)驗，善于對內(nèi)外部資源與風(fēng)險實施管控，專注傳播網(wǎng)絡(luò)與信息安全知識與經(jīng)驗;持續(xù)以博文、專題和譯文等形式，分享前沿技術(shù)與新知;經(jīng)常以線上、線下等方式，開展信息安全類培訓(xùn)與授課。

原文標(biāo)題：??What Is Moonbounce Malware and How Does It Work???，作者：Chris Odogwu