网络安全研究人员在野外首次发现了UEFI Rootkit

配音洛贾克斯，UEFI rootkit是臭名昭著的Sednit集团（也称为APT28、Fancy Bear、Stronium和Sofacy）发起的恶意软件活动的一部分，其目标是巴尔干半岛以及中欧和东欧的多个政府组织。

Sednit group至少从2007年开始运作，是一个由国家资助的黑客组织，据信是俄罗斯秘密军事情报机构GRU（总参谋部主要情报局）的一个单位。该黑客组织与多起备受关注的攻击有关，包括2016年美国总统大选前夕的DNC黑客攻击。
UEFI或统一可扩展固件接口（Unified Extensible Firmware Interface）是传统BIOS的替代品，是计算机的核心和关键固件组件，在启动时连接计算机的硬件和操作系统，用户通常无法访问。

LoJax UEFI Rootkit是如何工作的？

据ESET研究人员称，LoJax恶意软件能够将恶意UEFI模块写入系统的SPI闪存，从而允许BIOS固件在引导过程中在计算机磁盘深处安装和执行恶意软件。

ESET研究人员在今天发表的一篇博客文章中说：“这种修补工具使用不同的技术，要么滥用配置错误的平台，要么绕过平台SPI闪存写保护”。

由于LoJax rootkit驻留在受损的UEFI固件中，并在操作系统启动之前重新感染系统，因此重新安装操作系统、格式化硬盘，甚至用新硬盘替换硬盘都不足以清除感染。

用合法软件刷新受损固件是删除此类rootkit恶意软件的唯一方法，对于大多数计算机用户来说，这通常不是一项简单的任务。
LoJax于2017年初首次被发现，它是Absolute software中流行的合法LoJack笔记本电脑防盗软件的特洛伊木马版本，该软件将其代理安装到系统的BIOS中，以便在重新安装操作系统或更换驱动器后存活，并在笔记本电脑被盗时通知设备所有者其位置。

研究人员称，黑客对LoJack软件进行了轻微修改，以获得覆盖UEFI模块的能力，并改变了与Absolute软件服务器通信的后台进程，以便向Fancy Bear的C&C服务器。
在分析LoJax样本后，研究人员发现，威胁参与者使用了一个名为“ReWriter_binary”的组件来重写易受攻击的UEFI芯片，用恶意代码替换供应商代码。

ESET研究人员说：“我们可以恢复的所有LoJax small agent样本都是对Computrace small agent rpcnetp.exe的完全相同的合法样本进行特洛伊木马攻击。它们都有相同的编译时间戳，只有几十个字节与原来的不同”。

“除了对配置文件进行修改外，其他更改还包括指定与C&C服务器连接间隔的计时器值”。

LoJax并不是第一个隐藏在UEFI芯片中的代码，因为2015年黑客团队泄露的信息显示，这家臭名昭著的间谍软件制造商为其一款产品提供了UEFI持久性。

此外，维基解密去年泄露的一份中情局文件清楚地揭示了中情局在苹果Mac设备（包括Mac和iPhone）上获得“持久性”的技术，展示了他们使用EFI/UEFI和固件恶意软件的情况。

然而，据ESET称，研究人员发现的LoJax rootkit装置是有史以来第一个野生UEFI rootkit活跃的记录案例。

如何保护您的计算机免受rootkit攻击

正如ESET研究人员所说，没有简单的方法可以自动从系统中消除这种威胁。

由于UEFI rootkit没有正确签名，用户可以通过启用安全引导机制来保护自己免受LoJax感染，该机制确保系统固件加载的每个组件都使用有效证书进行了正确签名。

如果您已经感染了此类恶意软件，删除rootkit的唯一方法是使用主板特有的干净固件映像重新刷新SPI闪存，这是一个非常微妙的过程，必须手动小心执行。

除了重新刷新UEFI/BIOS，您还可以直接更换受损系统的主板。

研究人员写道：“LoJax的行动表明，高价值目标是部署罕见甚至独特威胁的主要候选目标。此类目标应该时刻警惕妥协的迹象”。

有关LoJax根的更多详细信息，请参阅ESET研究人员于周四发布的白皮书[PDF]，标题为“LoJax：首次在野外发现的UEFI根工具包，由Sednit group提供”。