<button id="ei02c"><ol id="ei02c"></ol></button>
            1. <div id="ei02c"></div>

                    1. 安基网 首页 资讯 安全报 查看内容

                      首个UEFI rootkit在野发现,疑似与Sednit APT有关

                      2019-3-24 10:34| 投稿: xiaotiger |来自: 互联网


                      免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

                      摘要: ESET研究人员概述了第一次在野外成功使用UEFI rootkit的研究。追踪网络间谍组织Sednit(一个也称为Sofacy、Fancy Bear和APT28的APT组织)的研究人员表示,他们在一次成功的攻击中发现了针对Windows统一可扩展固件接口(UEFI)的rootkit实例,这是第一次出现。讨论Sednit是35C3会议行程的一部分,ESET恶 ...

                      ESET研究人员概述了第一次在野外成功使用UEFI rootkit的研究。

                      追踪网络间谍组织Sednit(一个也称为Sofacy、Fancy Bear和APT28的APT组织)的研究人员表示,他们在一次成功的攻击中发现了针对Windows统一可扩展固件接口(UEFI)的rootkit实例,这是第一次出现。

                      讨论Sednit是35C3会议行程的一部分,ESET恶意软件研究员Frédéric Vachon在今年早些时候发表了有关其研究结果的技术文章(PDF)。在会议期间,Vachon表示,找到针对系统UEFI的rootkit非常重要,因为rootkit恶意软件程序可以在主板的闪存中存活,从而具有持久性和隐秘性。

                      在过去几年中已经对UEFI rootkit进行了大量的研究和讨论,但是很少有证据表明真的有活动打算用UEFI rootkit来感染系统。

                      什么是UEFI rootkit?

                      无论是“UEFI”还是“Rootkit?#20445;?#26377;些读者可能都会对它们感到陌生。没关系,百度百科已经给了我们较详细的科普。

                      UEFI,全称“统一可扩展固件接口(Unified Extensible Firmware Interface)?#20445;?#26159;一种详细描述类型接口的标准。这种接口用于操作系统自动从预启动的操作环?#24120;?#21152;载到一种操作系?#25104;稀?#23427;是传统BIOS的替代品,是计算机的核心和关键固件组件。

                      Rootkit,一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,通常与木马、后门等其他恶意程序结合使用。

                      该rootkit名为LoJax。这个名字是对底层代码的一种认可,因为它是Absolute Software公司用于笔记本电脑的LoJack?#25351;?#36719;件的修改版本。合法的LoJack软件的目的是帮助笔记本被盗受害者秘密访问他们的电脑而不?#20204;?#36156;知道。它隐藏在系统的UEFI上,并悄悄地将其?#24674;?#21457;?#36879;?#25152;有者,?#21592;愣员?#35760;本电脑进行可能的物理?#25351;礎?/p>

                      每次系统重启时,代码都会在操作系统加载之前以及系统的防病毒软件启动之前执行。这意味着即使更换了设备的硬盘驱动器,LoJack软件仍然可以运行。

                      根据Vachon的说法,黑客正在充分利用LoJax这一点。这个武器化的、定制的Absolute Software公司的软件可以追溯到?#36164;?#25915;击的2009版本,它有几个关键错误,其中主要是配置模块,其?#29992;芐院?#24046;,安全性也很差。

                      “这个漏洞可以让Sednit自定义一个字节,其中包含下载?#25351;?#36719;件要连接的合法软件的域信息,”他说。在这里,单个字节包含最终提供rootkit有效负载的Sednit命令和控制域。

                      感染链非常典型

                      攻击始于网络钓鱼电子邮件或等效邮件,成功欺骗受害者下载并执行小型rpcnetp.exe dropper代理。rpcnetp.exe将在系?#25104;?#23433;装Internet Explorer浏览器,该浏览器用于与配置的域进行通信。

                      一旦成功,黑客就可以使用这个工具来部署UEFI rootkit,这个黑客工具钻了固件供应商允许远程闪存的空子,UEFI rootkit位于串行外设接口(SPI)闪存的BIOS区域。

                      一旦安装了UEFI rootkit,除了重新刷新SPI内存或丢弃主板外,用户无法移除它。

                      今年5月,Arbor Networks发现Sednit代理?#35752;?#26032;开发LoJax。但是,直到9月,Sednit才开始在ESET观察的活动中使用它。这些活动主要针对位于?#25237;?#24178;半岛以及中欧和东欧的政府实体。

                      ESET表示确定了一个被LoJax恶意版本感染的?#31361;А?#19978;个月,五角大楼采取了更加开放的姿态,开始将APT和其他民族国家的恶意软件样本上传到VirusTotal网站上。前两个样本是rpcnetp.dll和rpcnetp.exe,它们都被检测为UEFI rootkit的dropper机制。

                      Vachon表示,通过启用Windows安全启动,确保他们的UEFI固件是最新的,最终用户可?#21592;?#25252;自己免受攻击。

                      原?#27425;?#31456;,作者:Gump,转载自:http://www.mottoin.com/news/133784.html



                      小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职?#26377;劍?/font>

                      本文出自:https://www.toutiao.com/a6671774091579490823/

                      免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


                      鲜花

                      ?#24080;?/a>

                      雷人
                      1

                      路过

                      鸡蛋

                      刚表态过的朋友 (1 人)

                      相关阅读

                      最新评论

                       最新
                      返回顶部
                      新疆11选5计算公式 福彩时时彩开奖走势图 乒乓球大魔王视频 赚钱的项目 贵州快3官网 吉利平特心水论 新11选5真假 老七乐彩走势图表 精准特单双中特 上海时时乐彩票分析王 湖北十一选五推荐 浙江风采网走势图2 竞彩篮球大小分推荐 自动麻将机是怎么出千 重庆百变王牌历史开奖记录查询 凤凰平特一尾中特