卡巴斯基安全研究人員周四報道稱,他們剛剛發現了一種會感染計算機 UEFI 固件的新型 bootkit 威脅。據悉,同類 bootkit 通常會將代碼放到硬盤的 EFI 系統分區。但糟糕的是,受害者無法通過簡單操作來移除 New MoonBounce UEFI bootkit —— 因為它感染的是主板上的 SPI 缺陷存儲區。
MoonBounce 感染流程(圖自:Kaspersky 官網)
卡巴斯基在近日的一篇 SecureList 文章中寫道,作為其迄今接觸到的第三個 UEFI bootkit 威脅(前兩個是 LoJax 和 MosaicRegressor),該 bootkit 會感染並存儲於 SPI 區域。
隨着 MoonBounce 的曝光,研究人員還在最近幾個月里了解到了其它 UEFI 引導包(ESPectre、FinSpy 等)。這意味着此前無法通過 UEFI 做到的事情,現在正在逐漸成為“新常態”。
比如傳統 bootkit 威脅可嘗試通過重裝系統或更換硬盤來輕鬆規避,而 MoonBounce 則必須刷新 SPI 存儲區(操作相當複雜)或換主板。
至於 MoonBounce 本身,研究發現它已被用於維持對受感染主機的訪問、並在後續的(第二階段)惡意軟件部署過程中發揮各種可執行的特性。
慶幸的是,目前卡巴斯基僅在某家運輸服務企業的網絡上看到一次 MoonBounce 部署、且基於部署在受感染的網絡上的其它惡意軟件而實現。
通過一番調查分析,其認為製作者很可能來自 APT41 。此外受害者網絡上發現的其它惡意軟件,也被發現與同一服務基礎設施開展通信,意味其很可能藉此來接收指令。
剩下的問題是,該 bootkit 最初到底是如何被安裝的?如上圖所示,wbemcomn.dll 文件中被附加了 IAT 條目,可在 WMI 服務啟動時強制加載 Stealth Vector 。
有鑒於此,卡巴斯基團隊建議 IT 管理員定期更新 UEFI 固件、並驗證 BootGuard(如果適用)是否已啟用。有條件的話,更可藉助 TPM 可信平台模塊來加強硬件保障。