Hacking Team 使用 UEFI BIOS Rootkit 遠端遙控代理程式,重灌或換硬碟也沒用!

 Hacking Team 資料外洩事件曝光的資料經過解析之後,目前又有重大發現:Hacking Team 會使用 UEFI BIOS Rootkit 來讓其遠端遙控系統 (Remote Control System,簡稱 RCS) 代理程式常駐在受害者的系統。也就是說,就算使用者將硬碟格式化並重灌作業系統,甚至再買一顆新的硬碟,其代理程式還是會在進到 Microsoft Windows之後自行重新安裝,允許客戶自遠端監控或掌控目標裝置。

駭客 攻擊 通用

他們甚至針對 Insyde BIOS (一個知名的 BIOS 廠商) 撰寫了一套專用程序。不過,同樣的程式碼在 AMI BIOS 上或許也能運作。

 Hacking Team 資料外洩 的一份簡報投影片當中宣稱,要成功感染目標系統必須實際接觸到目標系統,但我們還是不排除有遠端安裝的可能性。一種可能的攻擊情況是:駭客想辦法趁機操作目標電腦,將電腦重新開機以進入 UEFI BIOS 介面,然後將 BIOS 複製出來並且在 BIOS 中裝入 Rootkit,接著將 BIOS 更新回去,最後再將系統重新開機。

趨勢科技發現 Hacking Team 還針對其 BIOS Rootkit 的使用者開發了一套輔助工具,甚至當使用者遇到不相容的 BIOS 時還提供技術支援。


圖 1:Hacking Team 還提供技術支援。

Rootkit 的安裝過程如下:首先將外部的三個模組複製到已修改的 UEFI BIOS 中的一個檔案磁卷 (file volume,簡稱 FV),例如在 UEFI 介面下從 USB 隨身碟複製。第一個模組是 Ntfs.mod,可讓 UEFI BIOS 讀/寫 NTFS 檔案。第二個模組是 Rkloader.mod,用來攔截 UEFI 的事件並且在系統開機時呼叫檔案植入模組 (dropper) 的函式。第三個模組是 dropper.mod,含有實際的代理程式,檔名為 scout.exesoldier.exe


圖 2:UEFI BIOS Rootkit 安裝時所複製的檔案。

當 BIOS Rootkit 安裝完成之後,每次系統重新開機都會檢查代理程式是否存在。若不存在,就將代理程式檔案 scout.exe 安裝到下列路徑: \Users\[username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6To_60S7K_FU06yjEhjh5dpFw96549UU 

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2015/07/htbios3.png
圖 3:遠端遙控系統代理程式安裝到目標系統的路徑。

儘管 dropper 會檢查 soldier.exe 是否存在,但卻不會安裝這個檔案,原因不明。


圖 4:Scoute.exe (代理程式在除錯模式中的檔名) 會安裝至每位使用者的 \Users\[使用者名稱]\Appdata 資料夾。


圖 5:scoute.exe 的安裝程序。

這只是近期 Hacking Team 資料外洩事件引發的一連串最新發現之一。截至目前為止,這次事件已經導致三個 Adobe Flash 零時差漏洞曝光,不過,這次的發現卻提供了更多有關該公司的營業內容。雖然我們還不確定目前有什麼受害者,但就從該公司宣稱其工具為「政府監聽攔截專用駭客套裝軟體」(The Hacking Suite for Governmental Interception) 就可大略知道其使用對象為何。

要避免遭到這項威脅,趨勢科技建議使用者:

  • 確定開啟 UEFI SecureFlash 功能。
  • 一旦廠商釋出 BIOS 安全更新就盡速安裝。
  • 設定 BIOS 或 UEFI 密碼。

伺服器系統管理員也可選擇採購具備 BIOS 實體防寫保護的伺服器,也就是說,使用者必須調整主機板上的跳帽 (jumper) 或 DIP 開關才能更新 BIOS。

相關文章:

又來了!! Hacking Team 資料外洩添新的 Adobe Flash 零時差漏洞 (CVE-2015-5123)

Hacking Team 資料外洩事件又一個Adobe Flash Player 漏洞零時差漏洞曝光

當心勒索軟體利用Hacking Team 外洩的 Adobe Flash漏洞發動攻擊

Hacking Team 的 Flash 零時差漏洞攻擊,已被收錄到漏洞攻擊套件!

備收爭議的 Hacking Team 被駭 ! 流出資料中發現 Flash零時差漏洞攻擊程式

Hacking Team 的 Flash 零時差漏洞涉及 7 月 1 日韓國和日本所遭到的攻擊 (Hacking Team Flash Zero-Day Tied To Attacks In Korea and Japan… on July 1)

Adobe Flash 的難題:舊習慣一夕難改 (The Adobe Flash Conundrum: Old Habits Die Hard)

原文出處:Hacking Team Uses UEFI BIOS Rootkit to Keep RCS 9 Agent in Target Systems) |    作者:Philippe Lin (資深工程師)

《提醒》將滑鼠游標移動到右上方的「已說讚」欄位,勾選「搶先看」選項。建議也可同時選擇接收通知新增到興趣主題清單,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。