当前位置:主页 > 网上查询 >

ESET 发现第一个 UEFI rootkit 恶意程式 LoJax,感染后连重


2020-06-06


ESET 发现第一个 UEFI rootkit 恶意程式 LoJax,感染后连重

电脑系统底层 UEFI 已多次证实能透过特殊手法,写入恶意程式感染系统,但发现实际案例却还是第一次。ESET 近日发现 LoJax UEFI rootkit 恶意程式,目前正瞄準巴尔干半岛、中欧、东欧攻击,一旦感染,仅有重新烧录 UEFI 才可解除。

rootkit 一词由 root 和 kit 两者结合,由名称即可认知代表的意义,为一系列软体集合用来存取一般软体无法存取的区域,诸如核心记忆体、系统管理模式记忆体等。由于 rootkit 活动区域无法由一般软体存取,需要透过特别的扫描辨识程式才可以找到它。

UEFI 具备漏洞可让恶意程式侵入已不是新闻,白帽骇客相关聚会早有实作入侵手段,但实验室以外发现却还是第一次。ESET 公布发现的第一支 UEFI rootkit 恶意程式,由于这支程式採用 LoJack for Laptops 代理程式,ESET 命名为 LoJax。

LoJack for Laptops 前身为 CompuTrace,主要用来追蹤被小偷劫走的电脑,而烧录在电脑韧体里的小程式。由于位在电脑开机必须韧体之内,小偷没有办法透过一般替换硬碟储存装置的手段轻鬆移除,电脑开机后便会将此电脑所在区域相关资料回传。不过此实作概念亦被有心人士利用,瞄準的就是韧体感染不易察觉并移除的特性。

LoJax 主要利用 RWEverything 内建核心驱动程式 RwDrv.sys 读取 UEFI 相关设定,驱动程式经过合法签署手续,因此不会引起作业系统注意。LoJax 接着利用 3 个不同的工具达成目标,首先扫描低阶系统设定,以便根据设定拟定入侵策略,依据不同平台选择不同方式跳过非法韧体写入防护机制;接着把 UEFI 韧体档案读取出来,最后一个工具插入恶意 UEFI 模组至韧体并写回。

ESET 发现第一个 UEFI rootkit 恶意程式 LoJax,感染后连重

LoJax 韧体写入决策树,需要判断 BIOSWE(BIOS Write Enable)及 BIOSBLE(BIOS Lock Enable),和 Intel 在 PCH 晶片组系列导入的(SMM_BWP)SMM BIOS Write Protect Disable。

一旦 UEFI 遭感染,恶意程式即在 Windows 早期开机阶段写入 rpcnetp.exe 和 autoche.exe,并将原始注册机码 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute 的 autocheck autochk * 修改成 autocheck autoche *,以便开机时执行恶意程式。

autoche.exe 接着把 rpcnetp.exe 注册成 Windows 服务,虽然目前 ESET 并未发现 rpcnetp.exe 有进一步动作,不过这个程式包含下载与安装其他程式模组的机制,因此未来依旧可执行其他恶意行为。

ESET 发现第一个 UEFI rootkit 恶意程式 LoJax,感染后连重

UEFI 韧体被感染后,Windows 作业系统的开机步骤。

ESET 同时提出解决方案,第一个为开启 UEFI Secure Boot 机制,强迫开机载入的每个模组均需要合法签名,第二个就是更新至最新 UEFI 版本。此外 LoJax 也不影响 Intel 5 系列 PCH 晶片组之后的产品(注:BIOSWE 和 BIOSBLE 需正确设定成 0 和 1),原因为第一张图导入的 SMM BIOS Write Protect Disable 功能。目前消费市场,使用 Intel 5 系列晶片组(处理器 Core i 世代)以前的电脑并不多,但政府机关依旧有为数不少的旧电脑。



上一篇:
下一篇: