[情報] 第三款UEFI惡意程式MoonBounce現身，格

看板PC_Shopping (個人電腦購買)作者hn9480412 (ilinker)時間2年前 (2022/01/26 22:46)推噓9(9推 0噓 9→)

留言18則, 11人參與討論串1/1

第三款UEFI惡意程式MoonBounce現身，格式化硬碟或重灌系統都拿它沒輒文/陳曉莉 | 2022-01-24發表資安業者卡巴斯基（Kaspersky）上周揭露了自2018年以來、所出現的第三支UEFI Bootkit：MoonBounce，由於它寄生在UEFI韌體中，因此就算重新格式化硬碟或重新安裝作業系統可能都無法移除它，也透露出UEFI Bootkit可能會愈來愈流行。 UEFI的全名為統一可延伸韌體介面（Unified Extensible Firmware Interface），是一個介於平臺韌體與作業系統之間的軟體介面，它負責啟動裝置，再將控制權交給載入作業系統的軟體，至於Bootkit指的是在系統啟動之際就植入的惡意程式。因此，一旦UEFI被植入Bootkit，由於相關的程式碼存放在硬碟之外的SPI快閃記憶體，而且是在載入作業系統之前就執行，使得它不僅很難偵測，就算重新安裝作業系統或重新格式化硬碟，也都無法移除它。資安社群是在2018年9月發現首支名為LoJax的UEFI Bootkit，當時使用它的是俄羅斯駭客集團APT28；第二支UEFI Bootkit是出現在2020年10月的MosaicRegressor，與中國駭客有關；卡巴斯基則相信MoonBounce是由中國駭客集團APT41所部署。目前卡巴斯基只發現一個遭到MoonBounce攻擊的對象，尚未確定它的感染途徑，但分析顯示，MoonBounce比它的前輩們更為先進與精細，有別於LoJax與MosaicRegressor都利用額外的DXE驅動程式，MoonBounce選擇竄改既有的韌體元件，把一個先前屬於良性的核心元件變成惡意元件，藉由複雜的手法讓惡意元件進入作業系統，以與遠端的C&C伺服器互動，並下載其它惡意酬載，亦未留下任何的感染足跡。 MoonBounce自C&C伺服器所下載的惡意酬載，包括Sidewalk、Microcin與另一個以Golang 撰寫且尚未被命名的木馬程式，以及用來竊取憑證或安全資訊的Mimikat_ssp。根據資安社群的分析，迄今UEFI Bootkit攻擊多半是為了於受害組織中橫向移動並竊取資料，再加上它的隱匿特性，猜測駭客的目的為持續性的間諜行動。卡巴斯基建議組織應定期更新UEFI韌體且只使用可靠來源的韌體，於預設啟用安全啟動，以及部署端點防護產品。 https://www.ithome.com.tw/news/149039 -- 作者 mindstack31 (mindmind) 看板 PC_Shopping 標題 Re: [情報] AMD Threadripper NDA解禁時間 Thu Aug 10 21:33:16 2017 ───────────────────────────────────────

推

c52chungyuny

08/10 21:57,

08/10 21:57

-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.251.10.236 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1643208393.A.B3E.html

推

DsLove710

01/26 22:47, 2年前 , 1^F

01/26 22:47, 1^F

推

oppoR20

01/26 22:48, 2年前 , 2^F