LoJax：首个 UEFI rootkit 遭 APT28 利用

翻译：360代码卫士团队

追踪网络间谍组织活动的安全研究员发现，首个统一可扩展固件接口 (UEFI) rootkit 遭利用。

使用该 rootkit 的威胁组织被称作“Sednit”、”Fancy Bear”、APT28、”Strontium”和“Sofacy”，它能够将恶意组件写入某机器的 UEFI 固件中。ESET 公司指出，威胁者将这个 rootkit 内嵌到目标计算机的 SPI 闪存模块中，从而使得它不仅能获得针对操作系统卸载的可持久性，而且还获得针对硬盘驱动遭替代时的可持久性。

LoJack 反盗窃软件的恶意样本在今年年初被发现后，研究人员将这个 rootkit 命名为“LoJax”。这种针对合法软件的劫持操作也是 APT28 所为。ESET 在一份报告中表示，“在针对 LoJax 活动的系统上，我们发现很多种工具能够访问并修复 UEFI/BIOS 设置。”

安全研究员解释称，从受害者计算机中找到三种不同的工具。其中两种工具负责收集系统关键的详情并通过读取UEFI 固件所在位置的 SPI 闪存内存模块创建系统固件副本。第三种工具注入恶意模块并将受攻陷固件写会 SPI 闪存内存，从而为恶意软件创建可持续性。

为了访问 UEFI/BIOS 设置，所有工具使用 RWEverything 工具的内核驱动，从而能修改几乎任何硬件的固件设置。该驱动是通过某有效证书签名的。

ESET 表示，这款打补丁工具使用不同技术，或者为了滥用配置错误的平台，或者为了绕过平台 SPI 闪存内存写入保护措施。

写入操作如遭拒绝，那么这款恶意工具会利用 UEFI (CVE-2014-8273) 中已存在4年之久的竞争条件漏洞绕过这些防御措施。这个 rookit 的目的是为了将恶意软件释放到 Windows 操作系统中并确保在启动时执行。

通过启用安全启动机制就可防御 LoJax 感染问题。该机制用于查看系统固件所加载的每个组件都通过某有效证书签名。由于 LoJax rootkit 并未被签名，因此安全启动机制可阻止 LoJax 释放恶意软件。

防御 Sednit rootkit 的另外一种方法是确保主板的固件版本是最新版本。这款打补丁工具只有在 SPI 闪存模块易受攻击或被错误配置的情况下才能起作用。更新后的固件应该能让恶意更新操作不起作用。

然而，重新整理固件是多数用户不熟悉的任务。该任务要求从主板制造商手动下载最新的固件版本，将其保存在外部存储设备上，引导至 UEFI 目录并进行安装。

另外一种方法是，既然 LoJax 影响老旧版本的芯片集，则用更新的版本替换主板。这就要求具备一些技术知识以确保硬件的兼容性，而多数用户认为替换整个站点更容易。

LoJax 是一种非常少见的威胁，为高价值目标而设置。ESET 公司在微软蓝帽安全大会上公布了自己的研究成果。

原文链接

https://www.bleepingcomputer.com/news/security/apt28-uses-lojax-first-uefi-rootkit-seen-in-the-wild/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。