<dl id="wqg5j"></dl>

    1. <menuitem id="wqg5j"></menuitem>

      <dl id="wqg5j"><font id="wqg5j"></font></dl>
    2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
    3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
      <li id="wqg5j"><ins id="wqg5j"></ins></li>
      安基网 首页 资讯 安全报 查看内容

      首个UEFI rootkit在野发现£¬疑似与Sednit APT有关

      2019-3-24 10:34| 投稿: xiaotiger |来自: 互联网


      免责声明£º本站系公益性非盈利IT技术普及网£¬本文由投稿者转载自互联网的公开文章£¬文末均已注明出处£¬其内容和?#35745;?#29256;权归原网站或作者所有£¬文中所述不代表本站观点£¬若有无意侵权或转载不当之处请从网站右下角联系我们处理£¬谢谢合作£¡

      摘要: ESET研究人员概述了第一次在野外成功使用UEFI rootkit的研究¡£追踪网络间谍组织Sednit£¨一个也称为Sofacy¡¢Fancy Bear和APT28的APT组织£©的研究人员表示£¬他们在一次成功的攻击中发现了针对Windows统一可扩展固件接口£¨UEFI£©的rootkit实例£¬这是第一次出现¡£讨论Sednit是35C3会议行程的一部分£¬ESET恶 ...

      ESET研究人员概述了第一次在野外成功使用UEFI rootkit的研究¡£

      追踪网络间谍组织Sednit£¨一个也称为Sofacy¡¢Fancy Bear和APT28的APT组织£©的研究人员表示£¬他们在一次成功的攻击中发现了针对Windows统一可扩展固件接口£¨UEFI£©的rootkit实例£¬这是第一次出现¡£

      讨论Sednit是35C3会议行程的一部分£¬ESET恶意软件研究员Fr¨¦d¨¦ric Vachon在今年早些时候发表了有关其研究结果的技术文章£¨PDF£©¡£在会议期间£¬Vachon表示£¬找到针对系统UEFI的rootkit非常重要£¬因为rootkit恶意软件程序可以在主板的闪存中存活£¬从而具有持久性和隐秘性¡£

      在过去几年中已经对UEFI rootkit进行了大量的研究和讨论£¬但是很少有证据表明真的有活动打算用UEFI rootkit来感染系统¡£

      什么是UEFI rootkit?

      无论是¡°UEFI¡±还是¡°Rootkit?#20445;?#26377;些读者可能都会对它们感到陌生¡£没关系£¬百度百科已经给了我们较详细的科普¡£

      UEFI£¬全称¡°统一可扩展固件接口(Unified Extensible Firmware Interface)?#20445;?#26159;一种详细描述类型接口的标准¡£这种接口用于操作系统自动从预启动的操作环?#24120;?#21152;载到一种操作系?#25104;Ï¡?#23427;是传统BIOS的替代品£¬是计算机的核心和关键固件组件¡£

      Rootkit£¬一种特殊的恶意软件£¬它的功能是在安装目标上隐藏自身及指定的文件¡¢进程和网络链接等信息£¬通常与木马¡¢后门等其他恶意程序结合使用¡£

      该rootkit名为LoJax¡£这个名字是对底层代码的一种认可£¬因为它是Absolute Software公司用于笔记本电脑的LoJack?#25351;?#36719;件的修改版本¡£合法的LoJack软件的目的是帮助笔记本被盗受害者秘密访问他们的电脑而不?#20204;?#36156;知道¡£它隐藏在系统的UEFI上£¬并悄悄地将其?#24674;?#21457;?#36879;?#25152;有者£¬?#21592;ã¶员?#35760;本电脑进行可能的物理?#25351;µA?/p>

      每次系统重启时£¬代码都会在操作系统加载之前以及系统的防病毒软件启动之前执行¡£这意味着即使更换了设备的?#25165;?#39537;动器£¬LoJack软件仍然可以运行¡£

      根据Vachon的说法£¬黑客正在充分利用LoJax这一点¡£这个武器化的¡¢定制的Absolute Software公司的软件可以追溯到?#36164;?#25915;击的2009版本£¬它有几个关键错误£¬其中主要是配置模块£¬其?#29992;ÆS院?#24046;£¬安全性也很差¡£

      ¡°这个漏洞可以让Sednit自定义一个字节£¬其中包含下载?#25351;?#36719;件要连接的合法软件的域信息£¬¡±他说¡£在这里£¬单个字节包含最终提供rootkit有效负载的Sednit命令和控制域¡£

      感染链非常典型

      攻击始于网络钓鱼电子邮件或等效邮件£¬成功欺骗受害者下载并执行小型rpcnetp.exe dropper代理¡£rpcnetp.exe将在系?#25104;?#23433;装Internet Explorer浏览器£¬该浏览器用于与配置的域进行通信¡£

      一旦成功£¬黑客就可以使用这个工具来部署UEFI rootkit£¬这个黑客工具钻了固件供应商允许远程闪存的空子£¬UEFI rootkit位于串行外设接口£¨SPI£©闪存的BIOS区域¡£

      一旦安装了UEFI rootkit£¬除了重新刷新SPI内存或丢弃主板外£¬用户无法移除它¡£

      今年5月£¬Arbor Networks发现Sednit代理?#35752;?#26032;开发LoJax¡£但是£¬直到9月£¬Sednit才开始在ESET观察的活动中使用它¡£这些活动主要针对位于?#25237;?#24178;半岛以及中欧和东欧的政府实体¡£

      ESET表示确定了一个被LoJax恶意版本感染的?#31361;§¡?#19978;个月£¬五角大楼采取了更加开放的姿态£¬开始将APT和其他民族国家的恶意软件样本上传到VirusTotal网站上¡£前两个样本是rpcnetp.dll和rpcnetp.exe£¬它们都被检测为UEFI rootkit的dropper机制¡£

      Vachon表示£¬通过启用Windows安全启动£¬确保他们的UEFI固件是最新的£¬最终用户可?#21592;?#25252;自己免受攻击¡£

      原?#27425;?#31456;£¬作者£ºGump£¬转载自£ºhttp://www.mottoin.com/news/133784.html



      小编推荐£º欲学习电脑技术¡¢系统维护¡¢网络管理¡¢编程开发和安全攻防等高端IT技术£¬请 点击这里 注册账号£¬公开课频道价值万元IT培训教程免费学£¬让您少走弯路¡¢事半功倍£¬好工作升职?#26377;„¦?/font>

      本文出自£ºhttps://www.toutiao.com/a6671774091579490823/

      免责声明£º本站系公益性非盈利IT技术普及网£¬本文由投稿者转载自互联网的公开文章£¬文末均已注明出处£¬其内容和?#35745;?#29256;权归原网站或作者所有£¬文中所述不代表本站观点£¬若有无意侵权或转载不当之处请从网站右下角联系我们处理£¬谢谢合作£¡


      鲜花

      ?#24080;?/a>

      雷人
      1

      路过

      鸡蛋

      刚表态过的朋友 (1 人)

      相关阅读

      最新评论

       最新
      返回顶部
      Ðþ»úͼ
      <dl id="wqg5j"></dl>

        1. <menuitem id="wqg5j"></menuitem>

          <dl id="wqg5j"><font id="wqg5j"></font></dl>
        2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
        3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
          <li id="wqg5j"><ins id="wqg5j"></ins></li>
          <dl id="wqg5j"></dl>

            1. <menuitem id="wqg5j"></menuitem>

              <dl id="wqg5j"><font id="wqg5j"></font></dl>
            2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
            3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
              <li id="wqg5j"><ins id="wqg5j"></ins></li>