研究人员在网络安全史上仅第二次发现潜伏在UEFI中的真实世界恶意软件,UEFI是几乎每台现代计算机启动所需的低级且高度不透明的固件。
作为PC设备固件与其操作系统之间的桥梁软件,UEFI(Unified Extensible Firmware Interface的缩写)本身就是一个操作系统。它位于焊接在计算机主板上的SPI连接的闪存芯片中,因此很难检查或修补代码。当电脑开机时,它是第一件要运行的事情,允许它影响甚至控制操作系统、安全应用程序,以及随之而来的所有其他软件。
根据安全公司卡巴斯基实验室(Kaspersky Lab)周一公布的最新研究,这些特征使UEFI成为隐藏恶意软件的完美场所,而这正是一个未知的攻击组织所做的。
去年,在这家总部位于莫斯科的公司在其防病毒产品中集成了新的固件扫描仪后,研究人员从其一名用户那里恢复了一张可疑的UEFI图像。经过进一步研究,卡巴斯基实验室发现,2018年有一名单独的用户被同一张UEFI图像感染。两名受感染的用户都是位于亚洲的外交人物。
分析最终显示,固件每次运行时都会检查Windows启动文件夹中是否有名为IntelUpdate.exe的文件。如果不是,UEFI图像就会把它放在那里。事实证明,IntelUpdate.exe是为间谍和数据收集而构建的大型模块化框架中的一个小齿轮,但却是一个重要的齿轮。IntelUpdate.exe充当长链中的第一个环节。它报告给攻击者控制的服务器下载另一个链接,而该链接又会下载其他链接,所有这些链接都是根据感染者的个人资料定制的。
这家安全公司将在其安全分析师峰会@Home会议上展示这些发现。作者马克·莱克蒂克和伊戈尔·库兹涅佐夫在小组随附的一篇博客文章中写道:
这篇博客文章中描述的攻击展示了一个演员为了在受害者机器上获得最高级别的持久性所能达到的程度。受到攻击的UEFI固件在野外非常少见,这通常是因为对固件的攻击可见性很低,在目标的SPI闪存芯片上部署固件所需的高级措施,以及在执行此操作时烧毁敏感工具集或资产的高风险。
考虑到这一点,我们看到UEFI仍然是APT参与者感兴趣的一个点,而总体上却被安全供应商忽视了。我们的技术和对利用受感染固件的当前和过去活动的了解相结合,有助于我们监控和报告针对此类目标的未来攻击。