Hacking Team 使用 UEFI BIOS Rootkit 遠端遙控代理程式,重灌或換硬碟也沒用！

Hacking Team 資料外洩事件曝光的資料經過解析之後，目前又有重大發現：Hacking Team 會使用 UEFI BIOS Rootkit 來讓其遠端遙控系統 (Remote Control System，簡稱 RCS) 代理程式常駐在受害者的系統。也就是說，就算使用者將硬碟格式化並重灌作業系統，甚至再買一顆新的硬碟，其代理程式還是會在進到 Microsoft Windows之後自行重新安裝,允許客戶自遠端監控或掌控目標裝置。

他們甚至針對 Insyde BIOS (一個知名的 BIOS 廠商) 撰寫了一套專用程序。不過，同樣的程式碼在 AMI BIOS 上或許也能運作。

在 Hacking Team 資料外洩的一份簡報投影片當中宣稱，要成功感染目標系統必須實際接觸到目標系統，但我們還是不排除有遠端安裝的可能性。一種可能的攻擊情況是：駭客想辦法趁機操作目標電腦，將電腦重新開機以進入 UEFI BIOS 介面，然後將 BIOS 複製出來並且在 BIOS 中裝入 Rootkit，接著將 BIOS 更新回去，最後再將系統重新開機。

趨勢科技發現 Hacking Team 還針對其 BIOS Rootkit 的使用者開發了一套輔助工具，甚至當使用者遇到不相容的 BIOS 時還提供技術支援。

圖 1：Hacking Team 還提供技術支援。

Rootkit 的安裝過程如下：首先將外部的三個模組複製到已修改的 UEFI BIOS 中的一個檔案磁卷 (file volume，簡稱 FV)，例如在 UEFI 介面下從 USB 隨身碟複製。第一個模組是 Ntfs.mod，可讓 UEFI BIOS 讀/寫 NTFS 檔案。第二個模組是 Rkloader.mod，用來攔截 UEFI 的事件並且在系統開機時呼叫檔案植入模組 (dropper) 的函式。第三個模組是 dropper.mod，含有實際的代理程式，檔名為 scout.exe 或 soldier.exe。

圖 2：UEFI BIOS Rootkit 安裝時所複製的檔案。

當 BIOS Rootkit 安裝完成之後，每次系統重新開機都會檢查代理程式是否存在。若不存在，就將代理程式檔案 scout.exe 安裝到下列路徑： \Users\[username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6To_60S7K_FU06yjEhjh5dpFw96549UU

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2015/07/htbios3.png
圖 3：遠端遙控系統代理程式安裝到目標系統的路徑。

儘管 dropper 會檢查 soldier.exe 是否存在，但卻不會安裝這個檔案，原因不明。

圖 4：Scoute.exe (代理程式在除錯模式中的檔名) 會安裝至每位使用者的 \Users\[使用者名稱]\Appdata 資料夾。

圖 5：scoute.exe 的安裝程序。

這只是近期 Hacking Team 資料外洩事件引發的一連串最新發現之一。截至目前為止，這次事件已經導致三個 Adobe Flash 零時差漏洞曝光，不過，這次的發現卻提供了更多有關該公司的營業內容。雖然我們還不確定目前有什麼受害者，但就從該公司宣稱其工具為「政府監聽攔截專用駭客套裝軟體」(The Hacking Suite for Governmental Interception) 就可大略知道其使用對象為何。

要避免遭到這項威脅，趨勢科技建議使用者：