長期追蹤各種攻擊事件的資安公司 ESET 指出,他們發現全球首個攻擊 Windows UEFI,隱藏在系統主機板 Flash 記憶體中的 Rootkit 型惡意程式。
該單位研究員 Fédréic Vachon 在於德國萊比錫舉辦的一場研討會上分享了這個案例。他指出,能夠隱藏在系統 Flash 中的 Rootkit 型惡意程式,近年來是大家的研究重點,但過去一直沒有掌握真實的攻擊事件。
這支被發現的 Rootkit 惡意程式名為 LoJax,是由惡意攻擊團體 Sednit 修改 Absolute Software 公司的產品 LoJack 而來;這個軟體的作用是幫助筆記型電腦用戶在自己的筆電被竊時,仍能從其他 PC 存取筆電上的資料。
Sednit 利用 LoJax 2009 版本的漏洞,將惡意程式透過釣魚郵件夾檔感染受害者的 Internet Explorer 瀏覽器,再將 LoJax 安裝到 UEFI 中。由於這個軟體隱藏在電腦的 UEFI 用以控制周邊設備的 SPI(Serial Peripheral Interface,以下簡稱SPI) Flash 記憶體之中,而且會在作業系統和防毒軟體啟動前先執行,因此即使電腦的硬碟遭到更換,該軟體仍然存在且可運作。
一旦感染 LoJax,用戶除了清除整個 SPI Flash記憶體或是丟棄該主機板,沒有別的方法可以移除。
ESET 在去年九月起開始偵測到透過 LoJax 發動的攻擊事件,主要的受害者是中歐及東歐各國政府單位的電腦主機。
Vachon 表示,用戶可以啟用 UEFI 中的 Secure Boot 功能,並且經常更新韌體,以避免這類惡意程式造成傷害。
資料來源:
