僵尸网络Trickbot自2020年底卷土重来后,有安全厂商随即发现,该恶意软件出现了新的模块“Trickboot”,专门锁定UEFI固件而来。而最近,服务器厂商Supermicro与安全企业Pulse Secure,他们发出安全公告,并对于受到影响的设备发布新版固件,来防堵有关攻击。
为何安全企业Pulse Secure也要推出修补程序?原因是他们旗下的SSL VPN系统Pulse Connect Secure,以及NAC系统Pulse Policy Secure,所搭配的硬件设备,部分型号采用了受影响的Supermicro主板。
这个Trickboot模块的披露,Advanced Intelligence与Eclypsium等2家安全公司,在2020年12月推出的研究报告所公开。该份报告指出,一旦僵尸网络病毒Trickbot执行,Trickboot模块便会分析受害计算机的UEFI固件,并检查是否停用了写入防护机制,如果该机制处于停用状态,Trickbot便能控制固件,包含进行写入、读取,甚至是清除内容。
再者,Trickboot也具备分析受害计算机固件的能力,该恶意软件模块目前锁定多个较新时代的Intel处理器平台,包含了Skylake、Kaby Lake、Coffee Lake,以及Comet Lake。
时隔3个月,Supermicro和Pulse Secure近日发出安全通告。前者表明受到影响的机型,主要是部分X10 UP系列主板,该公司也对于这些主板推出BIOS固件3.4版。不过,仅有仍在支持的型号X10SLH-F,其新版固件可直接从网站下载取得,大多数受影响的主板型号已届终止支持(EOL),网管人员必须联系Supermicro才能取得固件。
而Pulse Secure对于部分采用Supermicro主板的硬件设备,也发布安全公告,这些受到影响的设备是PSA5000与PSA7000。Pulse Secure对于采用这些设备部署的Pulse Connect Secure与Pulse Policy Secure,提供新版BIOS固件。