安全企业卡巴斯基(Kaspersky)上周披露了自2018年以来、所出现的第三支UEFI Bootkit:MoonBounce,由于它寄生在UEFI固件中,因此就算重新格式化硬盘或重新安装操作系统可能都无法移除它,也透露出UEFI Bootkit可能会越来越流行。
UEFI的全名为统一可延伸固件接口(Unified Extensible Firmware Interface),是一个介于平台固件与操作系统之间的软件接口,它负责启动设备,再将控制权交给加载操作系统的软件,至于Bootkit指的是在系统启动之际就植入的恶意程序。因此,一旦UEFI被植入Bootkit,由于相关的程序代码存放在硬盘之外的SPI闪存,而且是在加载操作系统之前就执行,使得它不仅很难侦测,就算重新安装操作系统或重新格式化硬盘,也都无法移除它。
安全社群是在2018年9月发现首支名为LoJax的UEFI Bootkit,当时使用它的是俄罗斯黑客集团APT28;第二支UEFI Bootkit是出现在2020年10月的MosaicRegressor。
目前卡巴斯基只发现一个遭到MoonBounce攻击的对象,尚未确定它的感染途径,但分析显示,MoonBounce比它的前辈们更为先进与精细,有别于LoJax与MosaicRegressor都利用额外的DXE驱动程序,MoonBounce选择篡改既有的固件组件,把一个先前属于良性的核心组件变成恶意组件,借由复杂的手法让恶意组件进入操作系统,以与远程的C&C服务器交互,并下载其它恶意酬载,也未留下任何的感染足迹。
MoonBounce自C&C服务器所下载的恶意酬载,包括Sidewalk、Microcin与另一个以Golang撰写且尚未被命名的木马程序,以及用来窃取凭证或安全信息的Mimikat_ssp。
根据安全社群的分析,迄今UEFI Bootkit攻击多半是为了于受害组织中横向移动并窃取资料,再加上它的隐匿特性,猜测黑客的目的为持续性的间谍行动。
卡巴斯基建议组织应定期更新UEFI固件且只使用可靠来源的固件,于默认激活安全启动,以及部署端点防护产品。