自2012年以来，研究人员发现了针对Windows电脑的UEFI引导套件

网络安全研究人员周二透露了一个以前未经注册的UEFI（统一可扩展固件接口）引导工具包的详细信息，该引导工具包早在2012年就已被威胁参与者用于后门Windows系统，方法是修改合法的Windows引导管理器二进制文件以实现持久性，再次证明，在加载操作系统之前保护环境的技术正日益成为“诱人的目标”

斯洛伐克网络安全公司ESET将这种新的恶意软件命名为“Espeter”，因为它能够在EFI系统分区（ESP）上持久存在，此外还可以绕过Microsoft Windows驱动程序签名强制，加载自己的未签名驱动程序，该驱动程序可用于促进间谍活动，如文档盗窃、键盘记录、，以及通过定期捕获屏幕截图进行屏幕监控。该恶意软件的入侵路径目前尚不清楚。

ESET研究人员Martin Smolár和安东·切雷帕诺夫在周二发表的一篇技术文章中说。

ESPecter的起源至少可以追溯到2012年，它最初是作为一个用于带有遗留BIOS的系统的引导工具包，其作者不断增加对新Windows操作系统版本的支持，同时几乎没有对恶意软件的模块进行任何更改。最大的变化出现在2020年，当时“那些支持Espeter的人显然决定将他们的恶意软件从传统BIOS系统转移到现代UEFI系统。”

这是继LoJax、MosaicRegressionor和最近的FinFisher之后，迄今为止第四次发现UEFI恶意软件的真实案例，最后一次发现是利用相同的折衷方法，以修补Windows引导管理器的形式在ESP上持久存在。

研究人员说：“通过修补Windows引导管理器，攻击者可以在系统引导过程的早期阶段，即操作系统完全加载之前，实现执行。”。“这允许Espeter绕过Windows驱动程序签名执行（DSE），以便在系统启动时执行自己的未签名驱动程序。”

然而，在支持传统BIOS引导模式的系统上，Espeter通过改变位于磁盘驱动器第一个物理扇区的主引导记录（MBR）代码来干扰引导管理器的加载并加载恶意内核驱动程序，从而获得持久性，它的设计目的是加载额外的用户模式有效载荷并设置键盘记录器，然后从机器上删除自己的记录道。

无论使用哪种MBR或UEFI变体，驱动程序的部署都会导致下一阶段用户模式组件注入特定的系统进程，以与远程服务器建立通信，从而使攻击者能够占领受损的机器并接管控制权，更不用说下载并执行更多从服务器获取的恶意软件或命令。

ESET没有将引导包归因于某个特定的民族国家或黑客组织，但在用户模式客户端有效载荷中使用中文调试消息，增加了一种可能性，即它可能是一个未知的说中文的威胁行为人的作品。

研究人员指出：“尽管安全引导阻碍了从ESP执行不受信任的UEFI二进制文件，但在过去几年中，我们已经目睹了各种UEFI固件漏洞，影响了数千台允许禁用或绕过安全引导的设备。”。“这表明，保护UEFI固件是一项具有挑战性的任务，不同供应商应用安全策略和使用UEFI服务的方式并不总是理想的。”