卡巴斯基安全研究人员周四报道称,他们刚刚发现了一种会感染计算机 UEFI 固件的新型 bootkit 威胁。据悉,同类 bootkit 通常会将代码放到硬盘的 EFI 系统分区。但糟糕的是,受害者无法通过简单操作来移除 New MoonBounce UEFI bootkit —— 因为它感染的是主板上的 SPI 缺陷存储区。
MoonBounce 感染流程(图自:Kaspersky 官网)
卡巴斯基在近日的一篇 SecureList 文章中写道,作为其迄今接触到的第三个 UEFI bootkit 威胁(前两个是 LoJax 和 MosaicRegressor),该 bootkit 会感染并存储于 SPI 区域。
随着 MoonBounce 的曝光,研究人员还在最近几个月里了解到了其它 UEFI 引导包(ESPectre、FinSpy 等)。这意味着此前无法通过 UEFI 做到的事情,现在正在逐渐成为“新常态”。
比如传统 bootkit 威胁可尝试通过重装系统或更换硬盘来轻松规避,而 MoonBounce 则必须刷新 SPI 存储区(操作相当复杂)或换主板。
至于 MoonBounce 本身,研究发现它已被用于维持对受感染主机的访问、并在后续的(第二阶段)恶意软件部署过程中发挥各种可执行的特性。
庆幸的是,目前卡巴斯基仅在某家运输服务企业的网络上看到一次 MoonBounce 部署、且基于部署在受感染的网络上的其它恶意软件而实现。
通过一番调查分析,其认为制作者很可能来自 APT41 。此外受害者网络上发现的其它恶意软件,也被发现与同一服务基础设施开展通信,意味其很可能借此来接收指令。
剩下的问题是,该 bootkit 最初到底是如何被安装的?如上图所示,wbemcomn.dll 文件中被附加了 IAT 条目,可在 WMI 服务启动时强制加载 Stealth Vector 。
有鉴于此,卡巴斯基团队建议 IT 管理员定期更新 UEFI 固件、并验证 BootGuard(如果适用)是否已启用。有条件的话,更可借助 TPM 可信平台模块来加强硬件保障。
(举报)
