ESET曝光Lojax：首個被利用的UEFI rootkit案例

ESET 安全專家剛剛宣佈，他們已經發現了首個在野外被利用的“統一可擴充套件主機介面”（UEFI）rootkit 案例。這款惡意軟體被稱作 Lojax，被“高階持續威脅”（APT）的 Sednit 組織（又名 APT28、STRONTIUM、Sofacy、或 Fancy Bear），用於攻擊巴爾幹和歐洲中東部的政府機構。安全研究人員表示，他們發現該 UEFI rootkit 捆綁了能夠“修補”受害者系統韌體的工具，以便將 Lojax 惡意軟體安裝在目標系統的底層深處。

ESET 聲稱，在將 UEFI 模組寫入系統 SPI 快閃記憶體時，該 rootkit 曾成功使用過一次。該模組能夠在系統啟動過程中，於磁碟上執行惡意軟體。

研究人員留意到了這種持久的侵入性，因為它可以在重灌系統、或更換硬碟之後依然存活 —— 除非你重新刷寫，以清理系統的 UEFI 韌體。

雖然重刷 UEFI 韌體的解決方案很是簡單，但並不是每個人都會輕鬆執行。值得慶幸的是，ESET 指出該 UEFI rootkit 沒有正確的簽名。

這意味著，藉助該惡意軟體發起的任何形式的攻擊，都可以通過啟用安全機制來規避。ESET 建議大家這麼做，以便嚴格驗證系統韌體載入的每個元件的簽名是否正確。

Sednit 曾在多起引人注目的全球攻擊中攪過混水，包括 2016 美總統大選前、針對民主黨全國委員會（DNC）發起的黑客攻擊。

該組織被認為有俄政府的資助背景，且最近被美方發現其對保守團體實施了電子欺騙。

來源：cnBeta.COM

宣告：本網站所提供的資訊僅供參考之用，並不代表本網站贊同其觀點，也不代表本網站對其真實性負責。 

更多閱讀：

1、[翻譯] 利用DNS重繫結攻擊專用網路

2、[翻譯]利用機器學習檢測惡意PowerShell

3、[原創]看雪.京東 2018CTF 第十五題 智慧裝置 Writeup

4、[原創]淺談編碼與記憶體----自我總結與經驗分享

5、[翻譯]radare2高階