[情報] 第三款UEFI惡意程式MoonBounce現身,格
第三款UEFI惡意程式MoonBounce現身,格式化硬碟或重灌系統都拿它沒輒
文/陳曉莉 | 2022-01-24發表
資安業者卡巴斯基(Kaspersky)上周揭露了自2018年以來、所出現的第三支UEFI
Bootkit:MoonBounce,由於它寄生在UEFI韌體中,因此就算重新格式化硬碟或重新安裝
作業系統可能都無法移除它,也透露出UEFI Bootkit可能會愈來愈流行。
UEFI的全名為統一可延伸韌體介面(Unified Extensible Firmware Interface),是一
個介於平臺韌體與作業系統之間的軟體介面,它負責啟動裝置,再將控制權交給載入作業
系統的軟體,至於Bootkit指的是在系統啟動之際就植入的惡意程式。因此,一旦UEFI被
植入Bootkit,由於相關的程式碼存放在硬碟之外的SPI快閃記憶體,而且是在載入作業系
統之前就執行,使得它不僅很難偵測,就算重新安裝作業系統或重新格式化硬碟,也都無
法移除它。
資安社群是在2018年9月發現首支名為LoJax的UEFI Bootkit,當時使用它的是俄羅斯駭客
集團APT28;第二支UEFI Bootkit是出現在2020年10月的MosaicRegressor,與中國駭客有
關;卡巴斯基則相信MoonBounce是由中國駭客集團APT41所部署。
目前卡巴斯基只發現一個遭到MoonBounce攻擊的對象,尚未確定它的感染途徑,但分析顯
示,MoonBounce比它的前輩們更為先進與精細,有別於LoJax與MosaicRegressor都利用額
外的DXE驅動程式,MoonBounce選擇竄改既有的韌體元件,把一個先前屬於良性的核心元
件變成惡意元件,藉由複雜的手法讓惡意元件進入作業系統,以與遠端的C&C伺服器互動
,並下載其它惡意酬載,亦未留下任何的感染足跡。
MoonBounce自C&C伺服器所下載的惡意酬載,包括Sidewalk、Microcin與另一個以Golang
撰寫且尚未被命名的木馬程式,以及用來竊取憑證或安全資訊的Mimikat_ssp。
根據資安社群的分析,迄今UEFI Bootkit攻擊多半是為了於受害組織中橫向移動並竊取資
料,再加上它的隱匿特性,猜測駭客的目的為持續性的間諜行動。
卡巴斯基建議組織應定期更新UEFI韌體且只使用可靠來源的韌體,於預設啟用安全啟動,
以及部署端點防護產品。
https://www.ithome.com.tw/news/149039
--
作者 mindstack31 (mindmind) 看板 PC_Shopping
標題 Re: [情報] AMD Threadripper NDA解禁
時間 Thu Aug 10 21:33:16 2017
───────────────────────────────────────
推
08/10 21:57,
08/10 21:57
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.251.10.236 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1643208393.A.B3E.html
推
01/26 22:47,
2年前
, 1F
01/26 22:47, 1F
推
01/26 22:48,
2年前
, 2F
01/26 22:48, 2F
→
01/26 22:52,
2年前
, 3F
01/26 22:52, 3F
→
01/26 22:52,
2年前
, 4F
01/26 22:52, 4F
→
01/26 22:53,
2年前
, 5F
01/26 22:53, 5F
→
01/26 22:54,
2年前
, 6F
01/26 22:54, 6F
→
01/26 22:54,
2年前
, 7F
01/26 22:54, 7F
→
01/26 22:56,
2年前
, 8F
01/26 22:56, 8F
推
01/26 23:15,
2年前
, 9F
01/26 23:15, 9F
推
01/26 23:52,
2年前
, 10F
01/26 23:52, 10F
→
01/26 23:53,
2年前
, 11F
01/26 23:53, 11F
推
01/27 00:26,
2年前
, 12F
01/27 00:26, 12F
推
01/27 09:55,
2年前
, 13F
01/27 09:55, 13F
→
01/27 09:55,
2年前
, 14F
01/27 09:55, 14F
推
01/27 14:14,
2年前
, 15F
01/27 14:14, 15F
推
01/27 15:52,
2年前
, 16F
01/27 15:52, 16F
→
01/27 15:52,
2年前
, 17F
01/27 15:52, 17F
推
01/27 19:46,
2年前
, 18F
01/27 19:46, 18F
PC_Shopping 近期熱門文章
PTT數位生活區 即時熱門文章