搜索
查看: 1733|回复: 19
收起左侧

[IT业界] ESET研究人员首次发现可完整攻击UEFI固件的黑客集团

[复制链接]
c习生
发表于 2018-9-28 15:37:04 | 显示全部楼层 |阅读模式
      安全厂商ESET旗下追踪持续网络威胁的研究人员日前首次发现可以完整攻击扩展固件接口 UEFI 的黑客集团
    研究发现该黑客集团能够将病毒嵌入到目标计算机 SPI 闪存模块,若成功嵌入则用户可能将对病毒无计可施。因为该病毒不但可以阻止用户重新安装操作系统,甚至用户更换硬盘都会导致整个设备无法正常启动和使用。

1.png


被命名为rootkit LoJax:

    该病毒使用多个模块并利用多种方法来攻击UEFI固件,例如在攻击开始之前先释放模块收集固件的详细信息。然后通过读取UEFI固件所在的SPI闪存模块来创建系统固件的副本,接着再将携带病毒的副本写回到SPI闪存。完成最后步骤后该病毒即可持续性的威胁设备和操作系统,用户即便是发现该病毒也没有太好的办法去解决。

2.png


使用多种方式利用配置错误和漏洞:

    RWEverything 是个非常知名的硬件信息读写工具,在这次攻击中黑客集团也利用RWEverything 提供读写。该工具拥有正规的数字签名因此可以顺利的读写系统硬件信息,但这只是方便病毒成功进入固件的最初条件。事实上该病毒最常利用的攻击方法还是UEFI 本身配置错误,这样可以比较方便的绕过SPI闪存的写保护机制。如果用户配置正确病毒无法绕过写保护机制则会利用CVE-2014-8273 漏洞,该漏洞是UEFI很久之前的漏洞。所以倘若你还在使用非常旧的硬件以及从未对固件进行更新过,那么即便UEFI固件配置正确也还是会被感染。

3.png


如何抵御rootkit Lojax类病毒:

    开启安全启动检查机制是个非常不错的防御方式,该机制在系统启动时会预先检查所有组件是否有有效签名。尽管该病毒会利用含有正常签名的读写工具到达固件,但该病毒本身并没有签名因此无法通过安全机制检查。无法通过检查那么系统会自动丢弃该病毒,所以在最初启动时该病毒就会被成功干掉也无法再感染UEFI固件。

    保持固件最新也很重要: 在这次案例里黑客集团不但利用UEFI配置错误也利用到了很多年前就被修复的漏洞。所以及时更新固件是个非常重要的事情,更新固件的方法主要是是前往主板厂商官网下载对应的 BIOS 驱动。


清道夫900
发表于 2018-9-28 16:21:58 | 显示全部楼层
厉害了
ruancm
发表于 2018-9-28 16:52:20 | 显示全部楼层
上次安装了几次用U盘安装UEFI WIN7的启动方式,装完发现后面都需要插之前的U盘才能启动了。。。说明电脑读取的是U盘里的引导,不知道哪里操作不对
柯林
发表于 2018-9-29 08:43:14 | 显示全部楼层
果然新版的威胁来了,这玩意还是有漏洞,应该加个硬件开关——非得手动物理性打开,才能写入,这才保险
ask007
发表于 2018-9-29 08:58:43 | 显示全部楼层
UEFI有安全检查这一项内容吗?
xiaomudou
发表于 2018-9-29 09:52:44 | 显示全部楼层
柯林 发表于 2018-9-29 08:43
果然新版的威胁来了,这玩意还是有漏洞,应该加个硬件开关——非得手动物理性打开,才能写入,这才保险[:01 ...

跳线?
zzq
发表于 2018-9-29 10:37:36 | 显示全部楼层
新一代CIH?!
DF快递
发表于 2018-9-29 11:05:02 | 显示全部楼层
现在的小白能安装个系统就不错了,还刷固件,这要求太高了
驭龙
发表于 2018-9-29 13:58:04 | 显示全部楼层
本帖最后由 驭龙 于 2018-9-29 14:03 编辑
ask007 发表于 2018-9-29 08:58
UEFI有安全检查这一项内容吗?
https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf
搜索一下安全启动功能
上面是ESET的完整报告
wowocock
发表于 2018-9-29 16:43:27 | 显示全部楼层
驭龙 发表于 2018-9-29 13:58
https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf
搜索一下安全启动功能
上面 ...

过不了 SECURE BOOT.除非出现签名漏洞,否则UEFI BOOTKIT很难成大器。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2018-10-24 03:15 , Processed in 0.049425 second(s), 3 queries , MemCache On.

快速回复 返回顶部 返回列表