ESET的安全研究人员偶然发现了用于网络活动的统一可扩展固件接口(UEFI)rootkit。 据说Rootkit是以合法的防盗软件LoJack命名的LoJax(被趋势科技检测为BKDR_FALOJAK.USOMON和Backdoor.Win32.FALOJAK.AA)。据报道,rootkit与其他工具打包在一起,这些工具可以修改系统的固件以使其受到恶意软件的感染。 >
ESET表示,向LoJax投放的运动针对的是巴尔干以及中欧和东欧国家的组织。
LoJax旨在将恶意软件丢弃到系统上,并确保在计算机启动时执行该恶意软件。 LoJax影响UEFI,后者为系统的操作系统(OS)提供了与固件连接的接口。 这样,即使重新安装系统的操作系统或更换其硬盘驱动器,LoJax仍可以保留在UEFI中。
[阅读:利用Mac OS X中的漏洞进行的概念验证表明,在Mac上可能发生UEFI攻击]
如果感染成功,则攻击者可以使用 LoJax可以持续不断地远程访问系统,并在其上安装和执行其他恶意软件。 安全研究人员说,它也可以用来跟踪系统的位置以及系统所有者的位置。 研究人员分析的LoJax样本中的域用于命令控制(C&C )用于Sednit后门的通信,该后门用于网络活动。
[PRIMER:保护网络免受定向攻击]
LoJax不是第一个狂野的UEFI Rootkit。 实际上,在2015年,黑客团队小组使用了UEFI /基本输入/输出系统(BIOS)rootkit来将恶意软件工具(远程控制系统)安装在目标系统中。
类似于Hacking Team的UEFI / BIOS rootkit,LoJax涉及各种工具,这些工具需要访问和修改计算机的UEFI或BIOS设置。 这些工具具有以下功能: 收集系统设置并将其转储到文本文件中。 读取UEFI / BIOS所在的计算机的串行外围接口(SPI)存储器的内容,然后将其保存到文件中(作为固件映像)。 通过将恶意的UEFI模块嵌入保存的映像中来安装rootkit,然后将修改后的固件写回到SPI闪存中。
研究人员还报告说,如果禁用对SPI闪存的写入,则会利用旧漏洞(CVE-2014-8273)。
[趋势科技2018年中安全摘要:硬件中发现的严重漏洞使修补程序更具挑战性]
完全删除UEFI中的LoJax涉及重新刷新SPI闪存,这需要技术知识(即,确保固件和主板的兼容性)。
另一方面,用户可以通过启用安全启动(Secure Boot)来防御LoJax,该安全机制有助于确保使用由原始设备制造商有效签名的软件来启动系统。 大多数现代PC(Windows 8和更高版本的OS)都附带有安全启动功能,它可以检测并阻止被篡改的加载程序,OS文件和其他软件。 由于LoJax没有有效的数字签名,因此安全启动可以阻止它。 Microsoft还具有有关配置安全启动的准则。
组织还应遵循安全最佳实践:保持端点和固件的最新状态; 运用最低特权原则; 并通过可以阻止来自端点,网络,服务器和网关的威胁的安全机制来实施深度防御。 趋势科技解决方案
Trend Micro™Deep Discovery™解决方案可对当今的隐形恶意软件和目标攻击进行实时检测,深入分析和主动响应。 它提供了全面的防御措施,旨在通过专用引擎,自定义沙箱以及在整个攻击生命周期中实现无缝关联来保护组织免受针对性攻击和高级威胁,即使没有任何引擎或模式更新也可以检测到威胁。 趋势科技端点解决方案(如Smart Protection Suite和企业安全无忧解决方案)可以通过检测恶意文件并阻止所有相关的恶意URL来保护用户和企业免受威胁。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
