用在網路間諜活動的Rootkit :LoJax UEFI

安全研究人員發現了一個統一可延伸韌體介面(UEFI)的Rootkit,這個rootkit命名為LoJax(趨勢科技偵測名稱為BKDR_FALOJAK.USOMON 以及Backdoor.Win32.FALOJAK.AA)被用來執行網路間諜活動。這個rootkit包含其他會修改系統韌體的工具病感染惡意程式。

研究人員表示,這個網路間諜活動所設計的LoJax rootkit主要目標是巴爾幹地區的組織以及中歐和東歐的國家。

LoJax被用來在系統上建立惡意程式,並且在電腦開機時會自動執行,LoJax影響了UEFI,UEFI是作業系統連接到韌體的介面。因此即使重新安裝作業系統或是置換硬碟,LoJax仍會保留在UEFI中。

[閱讀:利用Mac OS X中的漏洞的概念驗證顯示可能會對Mac的UEFI進行攻擊]

 

當電腦受感染之後,駭客便可以遠端存取這台電腦,並安裝或執行其他惡意程式。安全研究人員表示,這個惡意程式也可以用來追縱電腦所在的位置以及系統所有者。

研究人員分析的LoJax樣本發現,其中的網域用也被用於Sednit後門的C&C通信,而Sednit後門正是用於網絡間諜活動的後門程式。

[入門:保護網絡免於目標式的攻擊]

 

LoJax並不是出現在網路上的第一支UEFI rootkit。事實上,在2015年,Hacking Team組織使用一個UEFI/basic input/output system (BIOS)的rootkit使得惡意工具程式(遠端遙控系統)可以安裝在目標系統上。

就如同Hacking Team的UEFI/BIOS rootkit,Lojax包含了多個工具用以存取或修改電腦的UEFI或BIOS設定。這些工具包含下列功能:

  • 收集並匯出系統的設定至文字檔(text)。
  • 讀取電腦上UEFI / BIOS所在的序列周邊介面(SPI)的記憶體內容,並存成檔案(如同韌體的映像檔)
  • 透過嵌入的惡意UEFI模組安裝rootkit至儲存的映像檔中,然後將修改後的映像檔寫回至SPI 快閃記憶體中。

研究人員也發現若SPI快閃記憶體的寫入功能被關閉的話,它就會利用舊的弱點(CVE-2014-8273) 。

[2018上半年資安總評:硬體上出現的嚴重漏洞更難修補]

 

完全刪除UEFI中的LoJax牽涉到重新刷新SPI快閃記憶體,這需要非常專業的知識(亦即須確保韌體和主機板的相容性)。

另一方面,使用者可以啟用安全開機(Secure Boot)以防範Lojax,這是一種安全機制,可確保使用由原始設備製造商有效簽章的軟體啟動系統。安全開機功能可以偵測並阻擋遭竄改的Loader、作業系統檔案以及其他軟體。適用於大多數現代PC(Windows 8及更新版本的作業系統)。由於LoJax沒有有效的數位簽章,因此啟用安全開機可以阻擋Lojax。 Microsoft也有關於設定安全開機的指南可供參考。

企業應該遵循安全的最佳範例:保持端點電腦以及韌體的修補及更新,採用最低的必要權限開放原則,以及建立具備縱深防禦的安全防護以阻擋惡意威脅-從端點網路伺服器以及閘道進行多層次的防護。

 

趨勢科技的解決方案

趨勢科技趨勢科技HYPERLINK “http://t.rend.tw/?i=Mzc4MQ”Deep Security解決方案提供偵測防護,深層的分析。可針對現今隱密的惡意程式以及目標式攻擊提供即時且主動的防護。Deep Security提供全面的防禦,藉由特別開發的過濾引擎保護企業免於目標式的攻擊以及進階的威脅,客製化的沙箱,以及整個攻擊生命週期的關聯性分析技術,即使沒有掃描引擎或病毒碼更新,也可以偵測威脅。趨勢科技端點解決方案例如趨勢科技 Smart Protection Suites  以及 Worry-Free Business Security,藉由偵測惡意程式以及阻擋所有相關的惡意連結可提供使用者和企業有效的安全防護。

 

◎原文來源: LoJax UEFI Rootkit Used in Cyberespionage