“MosaicRegressor”通過UEFI加載惡意程式

網路不法分子們利用的高級惡意框架中包含一些從Hacking Team洩露的工具。

近期,我們的安全研究人員發現了一起網路攻擊,專門針對亞非歐的外交機構和非政府組織。據我們所了解,所有的受害者都和朝鮮多少有些聯繫,無論是通過非盈利活動還是外交關係。

攻擊者們使用了一種高級的網路間諜框架,我們的研究人員將其命名為MosaicRegressor。我們的研究顯示,惡意程式在某些罕見情況下通過被修改的UEFI進入受害者的電腦,大多數情況下攻擊者使用的都是更加傳統的魚叉式網路釣魚攻擊。

何為UEFI?bootkit危險性何在?

UEFI類似於被它替代的BIOS ,是一種在電腦啟動後立刻運行的軟體,甚至在操作系統引導之前,它並非儲存在硬碟中,而是在主板的一個芯片上。如果網路不法分子能夠修改UEFI代碼,那麼他們便具備了向受害者電腦中植入惡意程式的能力。

這正是我們在之前提到的攻擊活動中所發現的情況,而且攻擊者在修改UEFI固件時用到了VectorEDK的源代碼,這是之前網上洩漏的源自Hacking Team的bootkit。儘管源代碼早在2015年就已經在網上被公開,這是我們第一次發現它真正被用於網路攻擊。

當系統啟動時,bootkit將惡意文件IntelUpdate.exe放置於系統啟動目錄,該可執行程式在電腦中下載並安裝MosaicRegressor的另一個組件。由於UEFI隔離於操作系統,即便檢測到惡意文件,也很難將其根除,無論直接刪除還是重裝系統都是徒勞的,唯一的解決辦法就是刷新主板。

MosaicRegressor危險性何在?

MosaicRegressor中用於進入受害者電腦系統的模塊連接著C&C伺服器,下載並運行其他用於竊取用戶訊息的模塊,比如,其中一個模塊會將用戶最近打開的文檔傳送至攻擊者。

它和C&C伺服器之間的通訊方式多種多樣,比如cURL(HTTP/HTTPS),BITS接口,WinHTTP接口以及使用POP3S、SMTPS或者IMAPS協議的公共郵件伺服器。

Securelist上的這篇文章詳細闡述了惡意框架MosaicRegressor的技術細節以及被感染症狀。

如何抵禦MosaicRegressor?

要想保護系統不受MosaicRegressor攻擊,首先要處理來自魚叉式釣魚攻擊的威脅,因為大多數高級攻擊都是以這種方式開場。為了盡可能保護企業員工的電腦,我們建議使用具備高級反釣魚技術的安全產品,同時企業也需要通過安全教育喚起員工防範這些攻擊的意識。

我們的安全解決方案還可以檢測出用於竊取數據的惡意組件。

至於那些被入侵的固件,我們無從得知bootkit究竟是如何進入電腦的。根據Hacking Team洩漏的數據顯示,攻擊者很可能需要對電腦的物理訪問權限並通過USB驅動感染機器,然而我們也不能排除其他可能性。

可以參考以下建議來抵禦MosaicRegressor UEFI bootkit:

  • 在電腦或者主板的製造廠商網站上查看你的硬體是否支持因特爾Boot Guard技術,這種技術可以阻止對UEFI固件的未授權修改。
  • 使用全盤加密來防止bootkit在電腦中安裝載荷。
  • 使用可靠的安全解決方案來掃描並識別這類威脅。從2019年起,我們的安全產品可以搜索隱藏在BIOS和UEFI固件中的安全威脅,也正是我們的固件掃描器最早檢測到這類攻擊。

資料來源: https://www.kaspersky.com/blog/mosaicregressor-uefi-malware/37252/

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: