攻击者们使用了一种高级的网络间谍框架,我们的研究人员将其命名为MosaicRegressor。我们的研究显示,恶意程序在某些罕见情况下通过被修改的UEFI进入受害者的计算机,大多数情况下攻击者使用的都是更加传统的鱼叉式网络钓鱼攻击。
何为UEFI?bootkit危险性何在?
UEFI类似于被它替代的BIOS ,是一种在计算机启动后立刻运行的软件,甚至在操作系统引导之前,它并非存储在硬盘中,而是在主板的一个芯片上。如果网络不法分子能够修改UEFI代码,那么他们便具备了向受害者计算机中植入恶意程序的能力。
这正是我们在之前提到的攻击活动中所发现的情况,而且攻击者在修改UEFI固件时用到了VectorEDK的源代码,这是之前网上泄漏的源自Hacking Team的bootkit。尽管源代码早在2015年就已经在网上被公开,这是我们第一次发现它真正被用于网络攻击。
捆绑在恶意SFX档案中的引诱文件的例子截图
当系统启动时,bootkit将恶意文件IntelUpdate.exe放置于系统启动目录,该可执行程序在计算机中下载并安装MosaicRegressor的另一个组件。由于UEFI隔离于操作系统,即便检测到恶意文件,也很难将其根除,无论直接删除还是重装系统都是徒劳的,唯一的解决办法就是刷新主板。
MosaicRegressor危险性何在?
MosaicRegressor中用于进入受害者计算机系统的模块连接着C&C服务器,下载并运行其他用于窃取用户信息的模块,比如,其中一个模块会将用户最近打开的文档传送至攻击者。
它和C&C服务器之间的通讯方式多种多样,比如cURL(HTTP/HTTPS),BITS接口,WinHTTP接口以及使用POP3S、SMTPS或者IMAPS协议的公共邮件服务器。
如何抵御MosaicRegressor
要想保护系统不受MosaicRegressor攻击,首先要处理来自鱼叉式钓鱼攻击的威胁,因为大多数高级攻击都是以这种方式开场。为了尽可能保护企业员工的计算机,我们建议使用具备高级反钓鱼技术的安全产品,同时企业也需要通过安全教育唤起员工防范这些攻击的意识。
我们的安全解决方案还可以检测出用于窃取数据的恶意组件。
至于那些被入侵的固件,我们无从得知bootkit究竟是如何进入计算机的。根据Hacking Team泄漏的数据显示,攻击者很可能需要对计算机的物理访问权限并通过USB驱动感染机器,然而我们也不能排除其他可能性。
可以参考以下建议来抵御MosaicRegressor UEFI bootkit:
-
在计算机或者主板的制造厂商网站上查看你的硬件是否支持因特尔Boot Guard技术,这种技术可以阻止对UEFI固件的未授权修改。
-
使用全盘加密来防止bootkit在计算机中安装载荷。
-
使用可靠的安全解决方案来扫描并识别这类威胁。从2019年起,我们的安全产品可以搜索隐藏在BIOS和UEFI固件中的安全威胁,也正是我们的固件扫描器最早检测到这类攻击。
相关文章
栏目最新
随机推荐