卡巴斯基安全研究人員周四報道稱,他們剛剛發現了一種會感染計算機 UEFI 固件的新型 bootkit 威脅。據悉,同類 bootkit 通常會将代碼放到硬盤的 EFI 系統分區。但糟糕的是,受害者無法通過簡單操作來移除 New MoonBounce UEFI bootkit —— 因為它感染的是主闆上的 SPI 缺陷存儲區。
MoonBounce 感染流程(圖自:Kaspersky 官網)
卡巴斯基在近日的一篇 SecureList 文章中寫道,作為其迄今接觸到的第三個 UEFI bootkit 威脅(前兩個是 LoJax 和 MosaicRegressor),該 bootkit 會感染并存儲于 SPI 區域。
随着 MoonBounce 的曝光,研究人員還在最近幾個月裡了解到了其它 UEFI 引導包(ESPectre、FinSpy 等)。這意味着此前無法通過 UEFI 做到的事情,現在正在逐漸成為“新常态”。
比如傳統 bootkit 威脅可嘗試通過重裝系統或更換硬盤來輕松規避,而 MoonBounce 則必須刷新 SPI 存儲區(操作相當複雜)或換主闆。
至于 MoonBounce 本身,研究發現它已被用于維持對受感染主機的訪問、并在後續的(第二階段)惡意軟件部署過程中發揮各種可執行的特性。
慶幸的是,目前卡巴斯基僅在某家運輸服務企業的網絡上看到一次 MoonBounce 部署、且基于部署在受感染的網絡上的其它惡意軟件而實現。
通過一番調查分析,其認為制作者很可能來自 APT41 。此外受害者網絡上發現的其它惡意軟件,也被發現與同一服務基礎設施開展通信,意味其很可能借此來接收指令。
剩下的問題是,該 bootkit 最初到底是如何被安裝的?如上圖所示,wbemcomn.dll 文件中被附加了 IAT 條目,可在 WMI 服務啟動時強制加載 Stealth Vector 。
有鑒于此,卡巴斯基團隊建議 IT 管理員定期更新 UEFI 固件、并驗證 BootGuard(如果适用)是否已啟用。有條件的話,更可借助 TPM 可信平台模塊來加強硬件保障。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
