科技

重灌系統也沒用——LoJax“惡意滿滿”

當用戶的計算機遇到無法解決的病毒感染時,最簡單、同時也是最無奈的辦法就是徹底重灌系統,把所有內容資料都刪的一乾二淨,與病毒軟體“同歸於盡”。然而,最近網路安全公司ESET發現了一款強到“變態”的UEFI Rootkit惡意軟體,即“LoJax”——即使在重新安裝作業系統和更換硬碟驅動器之後也能持續存在。UEFI Rootkit是一種特殊的惡意軟體,它的功能是在安裝目標上隱藏自身及指定的檔案、程序和網路連結等資訊,通常與木馬、後門等其他惡意程式結合使用。

ESET同時表示,俄羅斯黑客組織Fancy Bear(又稱Sofacy、APT28、Sednit等)是其幕後操縱者。LoJax,也是目前為止第一個在野外發現的UEFI Rootkit惡意軟體。雖然安全專家過去曾談到過這些問題,但仍有幾個政府機構在(祕密地)使用它,這是第一次在公開場合發現惡意軟體。

重新安裝作業系統或更換硬碟驅動器後,為什麼不能刪除LoJax?

這是第一個需要思考的問題,答案其實很簡單,LoJax並不沒有安裝在硬碟驅動器上。當計算機啟動時,首先啟動的是BIOS(基本輸入輸出系統)。最新型別的BIOS被稱為UEFI(統一可擴充套件韌體介面),它支援幾乎所有最新的作業系統,從Windows 8開始。其舊版本現在稱為Legacy BIOS。

計算機的BIOS位於主機板上,對於典型使用者來說很難訪問。LoJax通過入侵UEFI並安裝其rootkit,因此無論在受LoJax感染的系統上重新安裝作業系統或更換硬碟驅動器多少次,都無法將其刪除。原因在於這些操作都不能徹底刪除計算機上的UEFI BIOS。

LoJax如何感染計算機?

ESET在LoJax感染的計算機上發現了三個能夠修改UEFI / BIOS設定的工具,它們都使用了核心驅動程式RwDrv.sys.RwDrv.sys與RWEverything捆綁在一起,這是一個可以免費下載和使用的軟體。它能夠訪問計算機中的所有元件,不僅僅是BIOS。由於這是一個合法的軟體並經過數字簽名,因此Windows系統不會懷疑它的安全性。

經數字簽名的RWEverything

RWEverything GUI可訪問所有元件資訊

現在,我們來了解一下實際完成感染任務的這三個工具:

1.資訊傾棄工具(Information dumping tool)

首先,LoJax藉助RwDrv.sys讀取UEFI BIOS上的資訊,然後將此資訊儲存到文字檔案中。這一步可以幫助惡意軟體掌握受害者系統的大致資訊,以便確定後續操作。

2.系統韌體映像建立(System Firmware Image Creation)

第二個工具生成UEFI / BIOS所在的SPI快閃記憶體的映像,然後將此映像再次儲存到檔案中。

3.Rootkit安裝工具(Rootkit Installation Tool)

第三個工具修改此前儲存的韌體映像以新增實際的rootkit。這樣,韌體映像就已被感染。然後將此受感染的韌體映像安裝到SPI快閃記憶體中。也就是說,BIOS現在已經感染了LoJax惡意軟體。

需要注意的是,所有這些步驟都在Windows系統中進行的。LoJax不必實際進入使用者的BIOS才能感染它。具有諷刺意味的是,感染行為藉助的是Windows系統,但Windows系統的重新安裝卻對Lojax束手無策。

LoJax能做什麼?

如果BIOS中存在惡意軟體,它會給使用者帶來哪些危害?ESET的研究表明,該惡意軟體背後的APT小組用它來攻擊巴爾幹半島地區、中歐和東歐的一些政府組織。

然而我們現在仍然不知道這個惡意軟體實際上有什麼攻擊能力。但是ESET發現了LoJax商附帶的SedUploader偵察軟體,它經常被俄羅斯黑客組織Fancy Bear使用。有了SedUploader,LoJax可以輕鬆地讓攻擊者訪問使用者的個人檔案。

LoJax從LoJack演變而來

Absolute Software是一家從事軟體交易的合法公司,他們曾開發名為LoJack的軟體(早期名為CompuTrace)。顧名思義,LoJack是一種防盜軟體,可以在發生資訊盜竊時向用戶傳送位置資訊。該軟體與現在的LoJax很類似,它們都安裝在快閃記憶體上。但LoJack開發者最初考慮的是資訊竊賊即使安裝作業系統不會刪除軟體,因此無法隱匿其行蹤。在我們看來,這完全有道理並且是合法的,只是這種技術現在被犯罪分子們惡意利用了。

2018年5月,網路安全服務提供商ArborNetworks報道Sednit黑客組織(又名Fancy Bear)利用了LoJack(捆綁了SedUploader)的rpcnetp.exe。該黑客組織能夠修改該軟體中的檔案以便與他們的伺服器通訊。這就是新惡意軟體被命名為LoJax的原因。

SedUploader配置檔案資訊:左邊合法,右邊非法

如何刪除或預防LoJax?

在網路安全領域,預防勝於治療。大多數防病毒軟體無法檢測到LoJax,即使被檢測到,也無法將其刪除。以下是刪除或預防LoJax的幾點建議:

1.啟用“安全啟動”選項

安全啟動是BIOS中預設啟用的選項,啟用它將確保在完成引導之前,對韌體(UEFI)的每個元件進行驗證和掃描。ESET表示,雖然LoJax有數字簽名的元件,但安全啟動掃描將確保阻止LoJax執行。人們通常會關閉安全啟動功能以安裝一些作業系統和軟體,或出於某些測試目的。如果您已禁用了安全啟動功能,那麼現在最好重新啟用它。

2.啟用映像寫入保護

某些主機板製造商的BIOS中包含這一選項,確保啟用此功能。這樣一來,Windows等作業系統不會向BIOS安裝不必要的軟體。理論上,在啟用了映像寫入保護功能的情況下,RwDrv.sys無法將受感染的映像寫入快閃記憶體。

3.更新BIOS

製造商和OEM(原始裝置製造商)會提供及時的BIOS更新。在製造商的官方網站上,使用者可以定期檢查是否有BIOS更新,這將確保修補BIOS中的任何漏洞。ESET還指出,保護使用者免受LoJax攻擊很大程度上得靠主機板製造商,他們必須提供更新來阻止惡意軟體。

4.清除快閃記憶體BIOS

清潔快閃記憶體中的BIOS部分並重新重新整理韌體可以有效刪除惡意軟體,但對於普通使用者來說還是有些難度的。這通常需要第三方軟體,而且如果運用不當,可能會造成很多損害。

5.更換主機板

這是在其他辦法都不奏效的情況下極端的做法,但更換主機板的確可以刪除惡意軟體。

6.防病毒或安全軟體

我們建議在使用者個人計算機上至少安裝一個防病毒軟體或Total Security軟體。安裝這些軟體並不能保證免疫LoJax,但在大多數情況下,當我們從某些“特別的”網站(甚至是合法的網站)下載檔案時,病毒會感染計算機。使用防病毒軟體,您將收到警告,也許其中某個病毒就捆綁了LoJax呢?

原創文章,作者:M0tto1n,轉載自:http://www.mottoin.com/news/125394.html

Reference:科技日報

看更多!請加入我們的粉絲團

轉載請附文章網址

不可錯過的話題