透过计算机开机的统一可扩展固件接口(UEFI)的攻击手法,最近几年被资安人员发现数个恶意软件,且攻击极为隐蔽而难以察觉、因应。例如,资安业者于10月5日揭露新的恶意软件ESPecter,它藉由EFI系统扇区(EFI System Partition,ESP),而能持续在受害计算机运作,让攻击者得以绕过Windows的驱动程序强制签章机制(DSE),进而加载未签章的驱动程序,以便进行其他攻击行动。
针对这样的攻击手法,研究人员呼吁,使用者要严加防范:计算机要使用最新版本的韧体,并确定安全开机(Secure Boot)功能开启,再者,使用者也要留意特殊权限的管理,避免高权限账号遭到攻击者滥用。
1.这样的工具会被如何?
攻击者在受害计算机植入ESPecter之后,这个启动工具会窜改Windows启动管理器,而能在操作系统完全加载之前的早期启动阶段,执行没有签章的驱动程序,并绕过Windows驱动程序的强制签章要求。而这个没有签章的驱动程序,攻击者再以其他用户模块的组件注入,并启动ESPecter和C2中继站服务器的联机,使得攻击者能掌控受害计算机,执行C2命令,或是下载、执行其他的恶意软件。
而受这种攻击手法影响的范围,包含执行Windows 7至Windows 10的计算机。其中,研究人员指出,当中窜改Windows启动器档案(bootmgfw.efi)的手法,必须关闭UEFI安全开机才能达成。但究竟攻击者如何关闭受害计算机的安全开机功能?研究人员表示并不清楚,但推断有可能攻击者实际接触到受害计算机,或者是利用UEFI漏洞而能够达成。
2.锁定UEFI韧体出现新手法
过往针对UEFI韧体攻击的恶意软件,主要是滥用SPI闪存,包含ESET在2018年揭露的LoJax,以及卡巴斯基于2019年发现的MosaicRegressor。
而这次他们发现的ESPecter,与卡巴斯基甫于今年9月底揭露的FinSpy(亦称为FinFisher),则是锁定EFI系统扇区下手。在此之前,这种攻击EFI系统扇区的手法,只有出现在概念性验证(PoC)的攻击程序,并未于实际的攻击行动出现。不过,ESET强调,ESPecter和FinSpy两者之间没有直接关连。
亞洲雲海Myasiacloud
網路安全防禦專家
免備案cdn
CDN加速 CDN防禦
詳情訪問https://www.myasiacloud.com/clouddf
商務聯絡TG@myasiacloud66
评论
发表评论