網絡安全研究人員公布了一個新發現的UEFI（統一可擴展固件接口）Bootkit惡意程序工具包，該工具包早在 2012 年就被黑客用來通過修改合法的 Windows 引導管理器二進制文件，來在 Windows 系統中植入後門以實現持久控制，再次證明如何在加載操作系統之前的安全保護機制越來越重要。

根據網絡安全行業門戶極牛網JIKENB.COM的梳理，這個新惡意軟件代号命名為“ESPecter”，因為它能夠在 EFI 系統分區 ( ESP )上持續存在，此外還可以繞過 Microsoft Windows 驅動程序簽名強制執行加載自己的未簽名驅動程序，該驅動程序可用于促進間諜活動，例如通過定期捕獲屏幕截圖來記錄盜竊、鍵盤記錄和屏幕監控。目前，該惡意軟件的入侵途徑尚不得而知。

ESPecter 的根源至少可以追溯到 2012 年，它起源于具有傳統 BIOS 的系統的引導套件，其作者不斷添加對新 Windows 操作系統版本的支持，同時幾乎不對惡意軟件的模塊進行任何更改。最大的變化出現在 2020 年，當時ESPecter 背後的黑客顯然決定将他們的惡意軟件從傳統 BIOS 系統轉移到現代 UEFI 系統。

這一發展标志着迄今為止第四次發現 UEFI 惡意軟件的真實案例，繼LoJax、MosaicRegressor和最近的FinFisher 之後，發現最後一個利用相同的妥協方法以以下形式在 ESP 上持久存在打補丁的 Windows 啟動管理器。

安全研究人員稱，通過修補 Windows 啟動管理器，攻擊者可以在系統啟動過程的早期階段，即操作系統完全加載之前實現執行。這允許 ESPecter 繞過 Windows 驅動程序簽名強制 (DSE)，以便在系統啟動時執行其自己的未簽名驅動程序。

但是，在支持Legacy BIOS 引導模式的系統上，ESPecter 通過更改位于磁盤驅動器第一個物理扇區的主引導記錄 ( MBR ) 代碼來幹擾引導管理器的加載并加載惡意内核驅動程序，從而獲得持久性，它旨在加載額外的用戶模式有效負載并設置鍵盤記錄器，然後從機器上擦除自己的痕迹。

根據網絡安全行業門戶極牛網JIKENB.COM的梳理，無論使用哪種 MBR 或 UEFI 變體，驅動程序的部署都會導緻将下一階段的用戶模式組件注入特定的系統進程，以與遠程服務器建立通信，從而使攻擊者能夠征用受感染的機器并接管控制，更不用說下載和執行更多從服務器獲取的惡意軟件或命令。

盡管安全啟動阻礙了從 ESP 執行不受信任的 UEFI 二進制文件，但在過去幾年中，我們目睹了各種 UEFI 固件漏洞影響了數千個允許禁用或繞過安全啟動的設備。這表明保護 UEFI 固件是一項具有挑戰性的任務，而且各個供應商應用安全策略和使用 UEFI 服務的方式并不總是理想的。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!