神魂顛倒論壇

 取回密碼
 加入會員
搜尋
檢視: 3666|回覆: 0
收起左側

[安全資訊] 第三款UEFI惡意程式MoonBounce現身!

[複製連結]
發表於 2022-1-25 11:25:30 | 顯示全部樓層 |閱讀模式
第三款UEFI惡意程式MoonBounce現身,格式化硬碟或重灌系統都拿它沒輒

來源:
https://www.ithome.com.tw/news/149039

Bootkit指的是在系統啟動之際就植入的惡意程式,一旦UEFI被植入Bootkit,不僅難以偵測,就算重新安裝作業系統或重新格式化硬碟,也都無法移除,卡巴斯基推測近期曝光的新型UEFI Bootkit「MoonBounce」是由中國駭客集團APT41所部署,以進行持續性的間諜行動

0124-uefi_bootkit_by_kaspersky.jpg

資安業者卡巴斯基(Kaspersky)上周揭露了自2018年以來、所出現的第三支UEFI Bootkit:MoonBounce,由於它寄生在UEFI韌體中,因此就算重新格式化硬碟或重新安裝作業系統可能都無法移除它,也透露出UEFI Bootkit可能會愈來愈流行。

UEFI的全名為統一可延伸韌體介面(Unified Extensible Firmware Interface),是一個介於平臺韌體與作業系統之間的軟體介面,它負責啟動裝置,再將控制權交給載入作業系統的軟體,至於Bootkit指的是在系統啟動之際就植入的惡意程式。因此,一旦UEFI被植入Bootkit,由於相關的程式碼存放在硬碟之外的SPI快閃記憶體,而且是在載入作業系統之前就執行,使得它不僅很難偵測,就算重新安裝作業系統或重新格式化硬碟,也都無法移除它。

資安社群是在2018年9月發現首支名為LoJax的UEFI Bootkit,當時使用它的是俄羅斯駭客集團APT28;第二支UEFI Bootkit是出現在2020年10月的MosaicRegressor,與中國駭客有關;卡巴斯基則相信MoonBounce是由中國駭客集團APT41所部署。

目前卡巴斯基只發現一個遭到MoonBounce攻擊的對象,尚未確定它的感染途徑,但分析顯示,MoonBounce比它的前輩們更為先進與精細,有別於LoJax與MosaicRegressor都利用額外的DXE驅動程式,MoonBounce選擇竄改既有的韌體元件,把一個先前屬於良性的核心元件變成惡意元件,藉由複雜的手法讓惡意元件進入作業系統,以與遠端的C&C伺服器互動,並下載其它惡意酬載,亦未留下任何的感染足跡。

MoonBounce自C&C伺服器所下載的惡意酬載,包括Sidewalk、Microcin與另一個以Golang撰寫且尚未被命名的木馬程式,以及用來竊取憑證或安全資訊的Mimikat_ssp。

根據資安社群的分析,迄今UEFI Bootkit攻擊多半是為了於受害組織中橫向移動並竊取資料,再加上它的隱匿特性,猜測駭客的目的為持續性的間諜行動。

卡巴斯基建議組織應定期更新UEFI韌體且只使用可靠來源的韌體,於預設啟用安全啟動,以及部署端點防護產品。

您需要登入後才可以回帖 登入 | 加入會員

本版積分規則

Archiver|手機版|小黑屋|Flash2u論壇

GMT+8, 2024-11-24 08:03 , Processed in 0.081953 second(s), 23 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回覆 回到頂端 返回清單