恶意软件设法关闭UEFI安全开机功能，被用于间谍攻击

 

透过计算机开机的统一可扩展固件接口（UEFI）的攻击手法，最近几年被资安人员发现数个恶意软件，且攻击极为隐蔽而难以察觉、因应。例如，资安业者于10月5日揭露新的恶意软件ESPecter，它藉由EFI系统扇区（EFI System Partition，ESP），而能持续在受害计算机运作，让攻击者得以绕过Windows的驱动程序强制签章机制（DSE），进而加载未签章的驱动程序，以便进行其他攻击行动。

针对这样的攻击手法，研究人员呼吁，使用者要严加防范：计算机要使用最新版本的韧体，并确定安全开机（Secure Boot）功能开启，再者，使用者也要留意特殊权限的管理，避免高权限账号遭到攻击者滥用。

 

1.这样的工具会被如何？

攻击者在受害计算机植入ESPecter之后，这个启动工具会窜改Windows启动管理器，而能在操作系统完全加载之前的早期启动阶段，执行没有签章的驱动程序，并绕过Windows驱动程序的强制签章要求。而这个没有签章的驱动程序，攻击者再以其他用户模块的组件注入，并启动ESPecter和C2中继站服务器的联机，使得攻击者能掌控受害计算机，执行C2命令，或是下载、执行其他的恶意软件。

而受这种攻击手法影响的范围，包含执行Windows 7至Windows 10的计算机。其中，研究人员指出，当中窜改Windows启动器档案（bootmgfw.efi）的手法，必须关闭UEFI安全开机才能达成。但究竟攻击者如何关闭受害计算机的安全开机功能？研究人员表示并不清楚，但推断有可能攻击者实际接触到受害计算机，或者是利用UEFI漏洞而能够达成。

 

2.锁定UEFI韧体出现新手法

过往针对UEFI韧体攻击的恶意软件，主要是滥用SPI闪存，包含ESET在2018年揭露的LoJax，以及卡巴斯基于2019年发现的MosaicRegressor。

而这次他们发现的ESPecter，与卡巴斯基甫于今年9月底揭露的FinSpy（亦称为FinFisher），则是锁定EFI系统扇区下手。在此之前，这种攻击EFI系统扇区的手法，只有出现在概念性验证（PoC）的攻击程序，并未于实际的攻击行动出现。不过，ESET强调，ESPecter和FinSpy两者之间没有直接关连。

 

亞洲雲海Myasiacloud

網路安全防禦專家

免備案cdn

CDN加速 CDN防禦

詳情訪問https://www.myasiacloud.com/clouddf

商務聯絡TG@myasiacloud66