“MosaicRegressor”通过UEFI加载恶意程序

网络不法分子们利用的高级恶意框架中包含一些从Hacking Team泄露的工具。

近期,我们的安全研究人员发现了一起网络攻击,专门针对亚非欧的外交机构和非政府组织。据我们所了解,所有的受害者都和朝鲜多少有些联系,无论是通过非盈利活动还是外交关系。

攻击者们使用了一种高级的网络间谍框架,我们的研究人员将其命名为MosaicRegressor。我们的研究显示,恶意程序在某些罕见情况下通过被修改的UEFI进入受害者的计算机,大多数情况下攻击者使用的都是更加传统的鱼叉式网络钓鱼攻击。

何为UEFI?bootkit危险性何在?

UEFI类似于被它替代的BIOS ,是一种在计算机启动后立刻运行的软件,甚至在操作系统引导之前,它并非存储在硬盘中,而是在主板的一个芯片上。如果网络不法分子能够修改UEFI代码,那么他们便具备了向受害者计算机中植入恶意程序的能力。

这正是我们在之前提到的攻击活动中所发现的情况,而且攻击者在修改UEFI固件时用到了VectorEDK的源代码,这是之前网上泄漏的源自Hacking Team的bootkit。尽管源代码早在2015年就已经在网上被公开,这是我们第一次发现它真正被用于网络攻击。

当系统启动时,bootkit将恶意文件IntelUpdate.exe放置于系统启动目录,该可执行程序在计算机中下载并安装MosaicRegressor的另一个组件。由于UEFI隔离于操作系统,即便检测到恶意文件,也很难将其根除,无论直接删除还是重装系统都是徒劳的,唯一的解决办法就是刷新主板。

MosaicRegressor危险性何在?

MosaicRegressor中用于进入受害者计算机系统的模块连接着C&C服务器,下载并运行其他用于窃取用户信息的模块,比如,其中一个模块会将用户最近打开的文档传送至攻击者。

它和C&C服务器之间的通讯方式多种多样,比如cURL(HTTP/HTTPS),BITS接口,WinHTTP接口以及使用POP3S、SMTPS或者IMAPS协议的公共邮件服务器。

Securelist上的这篇文章详细阐述了恶意框架MosaicRegressor的技术细节以及被感染症状。

如何抵御MosaicRegressor?

要想保护系统不受MosaicRegressor攻击,首先要处理来自鱼叉式钓鱼攻击的威胁,因为大多数高级攻击都是以这种方式开场。为了尽可能保护企业员工的计算机,我们建议使用具备高级反钓鱼技术的安全产品,同时企业也需要通过安全教育唤起员工防范这些攻击的意识。

我们的安全解决方案还可以检测出用于窃取数据的恶意组件。

至于那些被入侵的固件,我们无从得知bootkit究竟是如何进入计算机的。根据Hacking Team泄漏的数据显示,攻击者很可能需要对计算机的物理访问权限并通过USB驱动感染机器,然而我们也不能排除其他可能性。

可以参考以下建议来抵御MosaicRegressor UEFI bootkit:

  • 在计算机或者主板的制造厂商网站上查看你的硬件是否支持因特尔Boot Guard技术,这种技术可以阻止对UEFI固件的未授权修改。
  • 使用全盘加密来防止bootkit在计算机中安装载荷。
  • 使用可靠的安全解决方案来扫描并识别这类威胁。从2019年起,我们的安全产品可以搜索隐藏在BIOS和UEFI固件中的安全威胁,也正是我们的固件扫描器最早检测到这类攻击。
提示