研究人員公開解析了一款統(tǒng)一可擴展固件接口(UEFI) rootkit,據稱是俄羅斯間諜以防盜軟件的名義打造����,用來監(jiān)視歐洲政府的。
rootkit是隱藏在計算機系統(tǒng)里的一類軟件�,利用其root或管理員權限盜取及篡改文檔,監(jiān)視用戶�,或者搞些令用戶頭疼的惡作劇。UEFI rootkit 潛伏在主板固件中��,也就是說能在操作系統(tǒng)和殺軟運行前啟動����,將自身深埋在受感染主機中����,不會被檢測到���,且具備高級訪問權限�。
信息安全公司ESET透露�����,名為LoJax的一款固件rootkit攻擊了巴爾干半島和中東歐政府組織所用的Windows計算機���。該款惡意軟件背后的最大嫌疑人是著名的“奇幻熊( Fancy Bear )”黑客團伙�����,亦稱Sednit/Sofacy/APT28���,還有人指認是俄羅斯軍事情報部門。
據稱奇幻熊曾黑進美國民主黨的服務器��、法國電視網TV5及其他一些重要目標�����。
LoJax固件rootkit以 Absolute Software 出品的合法應用 LoJack for Laptops 為藍本。LoJack for Laptops 是一款常安裝在筆記本電腦上的設備防盜軟件����,其代碼隱身于UEFI固件中,通過互聯(lián)網回連其后端服務器����。因此���,一旦計算機被盜��,它就可以秘密向其真正的主人揭示自己的當前位置���。
今年5月,Netscout公司旗下 Arbor Networks 發(fā)現LoJack防盜/尋回軟件被奇幻熊黑客團伙重用來開發(fā)LoJax���。如今����,ESET發(fā)布報告����,詳細描述了該間諜軟件的內部機制�,列出了可用于檢測和清除該惡意軟件的特征碼����。
基本上,黑客先入侵一臺主機�,獲取到管理員權限,然后試圖修改主板固件植入惡意UEFI模塊��。如果成功植入����,計算機每次正常啟動時便都會安裝并運行LoJax。
該惡意代碼因而得以在操作系統(tǒng)和殺軟加載前就運行起來����。換硬盤或重裝操作系統(tǒng)都無濟于事,該惡意軟件存儲在系統(tǒng)的內置串口閃存( SPI flash )中��,會在新硬盤或被清理過的硬盤上重裝自身���。
一旦啟動起來��,LoJax會聯(lián)系偽裝成正常網站的命令與控制(C&C)服務器�����,然后下載指令并執(zhí)行之�����。當然���,這些C&C服務器據說是俄羅斯情報機構運作的�。
9月27日��,ESET團隊寫道:
在線咨詢
在線咨詢
0371-63319761
