在网络安全史上,研究人员第二次发现真实世界中有恶意软件潜伏在统一可延伸固件接口(UEFI)之中,UEFI是个低端且高度不透明的固件,更是用来启动几乎每台现代计算机所需的固件。
作为将PC设备固件与其操作系统连接起来的软件,UEFI本身就是一个操作系统。它位于焊接在计算机主板上的SPI接口快闪存储芯片之中,因此不论检测或更新修补程序代码都很困难。它是打开计算机后运行的第一件事,让使得它可以影响甚至控制操作系统、安全应用程序以及随后的所有其他软件。
根据安全公司卡巴斯基实验室(Kaspersky Lab)周一发布的最新研究报告指出,这些特征使得UEFI成为藏匿恶意软件的完美场所,而这正是发动未知攻击的组织正在做的勾当。
去年,在这家总部位于莫斯科的安全公司将新的固件扫描工具集成成到自家防病毒产品之中后,研究人员从旗下某用户处恢复了一个可疑UEFI镜像文件。经过进一步研究,卡巴斯基实验室在2018年发现另一位用户也感染了同一个UEFI镜像文件。两位受感染的使用户都是位于亚洲的外交人员。
寻求最大化潜伏期的超耐力恶意程序
分析最终显示,每次运行固件时,UEFI镜像文件都会检查Windows启动文件夹中是否存在名为IntelUpdate. exe的文件。如果没有,该镜像文件会将该档放置到文件夹中。事实证明,在专为间谍活动和资料收集而构建的大型模块化框架中,IntelUpdate.exe虽然很小却发挥了极其重要的作用。IntelUpdate.exe扮演了整个攻击链中第一连接的角色。它回应信息给攻击者控制服务器,以下载另一个连接,这个连接又会下载其他连接,所有这些连接都是根据受感染者的个人资料量身定制的。
这家安全公司将在自家线上安全分析师峰会(Security Analyst Summit @Home)上介绍最新调查结果。在一篇伴随着小组专题讨论而发布的博客贴文中,作者Mark Lechtik和Igor Kuznetsov写道:
在本篇博客贴文中所描述的攻击,清楚表明了恶意攻击者极尽所能地就是为了获得在受害机器上最高程度的持久性。在网络增至到日渐泛滥的UEFI固件遭劫持状况是极其罕见的,这通常是由于对固件攻击的可见度很低,将其部署在目标的SPI快闪芯片上需要更先进的手法,以及刻录敏感工具集或资产的风险很高。
考虑到这一点,我们看到UEFI仍然是APT黑客会感到兴趣的焦点,然而却普遍被安全厂商所忽视。我们的技术,再加上对当前及未来利用受感染固件之恶意活动的了解,有助于我们监控并通报专门针对此类目标的未来攻击。
原本用来保护的软件被改造成固件级攻击利器
如果Rootkit是一种很会钻洞并钻到无法被操作系统检测到之深度的恶意软件,那么“Bootkit”(至少是UEFI变种之一)也毫不逊色,不同之处在于它在启动过程中能以固件级别运行。有鉴于其神乎其技的攻击能耐(在一个基本增至不到的芯片中,具备在启动之前写入、删除或修改任何内容的能力),安全从业人员长期以来就认为UEFI bootkit恶意程序早已存在。但该攻击想在真实世界中实例存在一些障碍,因为一些让UEFI受到攻击者青睐的相同优点,也成了让他们难以被滥用的缺点。
2014年,卡巴斯基实验室发现,攻击者可以一种先见之明的方式来迎接挑战(通过滥用一种当时称之为Absolute Computrace的防盗关注组件)。该组件后来改名为LoJack,其具备一个可将自己嵌入至UEFI之中的模块。为了密切监控计算机,该模块会和Absolute Computrace C&C主控服务器维持持续连接的状态。
一旦计算机遗失或遭窃,该软件可以下载一个能让服务器远程控制PC的补救模块。合法所有人可以借此确认PC的IP地址、大概位置和其他详细信息。所有人还可以选择远程清空硬盘内容或执行其他远程操作。因为该模块运行在UEFI中,所以即使该PC硬盘遭更换或操作系统被重装,所有远程控制仍然可以正常执行。
卡巴斯基实验室在分析这个防盗关注组件后发现,该软件(包括UEFI模块)在许多没有明显通知的情况下,就预先擅自安装在许多家用和商用笔记本上。更令人担忧的是,Absolute Computrace没有提供任何能控制服务器向笔记本自我验明正身的方法。最坏的结果是:如果该软件被迫访问错误的服务器,那么位于地球另一端的黑客便可以控制和它连接的计算机。
“我们认为防盗技术本身是一个不错的想法,但前提是一切都应按照预期进行才对,”2014年卡巴斯基官方贴文总结道。“一旦这中间出了任何差错,原本被开发用来保护的软件,有可能顿时被当作攻击的武器使用。我们没有证据表明Absolute Computrace被用做攻击平台,但是我们看到了这种可能性,并且一些令人震惊和莫名其妙的事实让这种可能性越来越大。”
4年后,总部位于斯洛伐克的安全公司ESET发现,世界上最先进、最臭名昭著的黑客组织之一就做了这样的勾当。ESET恢复的某软件工具能够通过先拆解固件,然后再通过恶意程序代码修补并复写固件的方式将Absolute Computrace彻底改造成恶意攻击平台。经修补后的固件导致计算机沦为向Fancy Bear俄罗斯国家赞助黑客组织旗下服务器汇报一切的傀儡计算机,该组织曾于2016年入侵美国民主党全国委员会(Democratic National Committee)。
这一发现可说是攻击者首次在真实世界中使用UEFI booktkit程序的案例。ESET将其称之为LoJax恶意软件。在该发现后8个月,安全公司Netscout的研究人员发现LoJax仍在运行中。
bootkit攻击有可能来自华语黑客
如今卡巴斯基实验室发现了第二次在真实世界中积极使用UEFI bootkit恶意程序的勾当,但卡巴斯基实验室仍然不知道bootkit恶意程序是如何成功安装到受害计算机上的。一种可能是PC接收从远程来源的假冒UEFI更新,但是在卡巴斯基AV日志中并没有发生这样状况的任何迹象。
这一点让公司研究人员推测安装恶意固件的攻击者应该拥有实体访问权限。根据意大利知名黑客公司Hacking Team在2015年被黑而泄露的源码,该黑客公司提供了如何使用USBU盘安装UEFI bootkit恶意程序的步骤式教学说明,该公司将这个教程称之为VectorEDK。通过USB Key,只需几分钟的时间,攻击者便可以启动目标计算机,并将该计算机设置成可通过USB Key启动。
如前所述,bootkit的最终目标是允许安装庞大的恶意软件框架。卡巴斯基实验室将其称之为“MosaicRegressor”。当公司研究人员进一步研究发现组成该框架的许多模块时,他们发现自家数十位AV用户也收到了(与UEFI不相关的)部分的框架。与前述感染UEFI镜像文件的两位用户一样,新发现的受害者都是外交人员或非政府组织成员。他们分布在非洲、亚洲和欧洲,而且他们的活动都与朝鲜有关。
卡巴斯基实验室的研究人员还发现了证据,bootkit恶意程序只是安装恶意框架的方式之一。在MosaicRegressor归档中的文件显示了两个可能采用鱼叉式网络钓鱼攻击的文件。两种引诱文件(一篇用俄语撰写,另篇种用英语撰写)都讨论到了涉及朝鲜的事项。
据安全公司ProtectWise的研究人员指出,其中一个MosaicRegressor所连接的主控服务器过去曾被大规模威胁黑客团体“Winnti Umbrella”旗下恶意后门软件所使用,研究人员表示该黑客团体隶属于中国国家情报机构。
综合起来,有证据表明,这些攻击是由过去曾用过Winnti后门程序的华语黑客所发动的,卡巴斯基实验室研究人员表示。但他们提醒指出:“由于这是我们从自家调查研究与使用Winnti后门程序之任何黑客团体之间的唯一连接判断而出的,因此我们不太有把握地确定他们就是这些攻击背后的主使者。”
UEFI成为计算机安全上的一大盲点
更紧迫的问题是,UEFI仍然是计算机安全上的一大盲点。一些公司逐渐意识到恶意固件所可能构成的风险。例如,去年,Google发布了开放源码信任根(Root-of-Trust)芯片,它将“确保服务器或设备能以正确的固件启动,并且不会被低端恶意软件感染”。
密码保护UEFI启动程序也是防止固件遭到恶意篡改的有效措施。使用全硬盘加密机制也可能会有帮助,因为一旦UEFI固件被黑,黑客也无法写入磁盘。
但是,整体而言,硬件和固件供应商仍然没有花费足够的资源来构建能让产品有效抵御攻击所需的防御措施。安全启动绝对不是解决方案,因为它只会在执行时间里保护启动程序。安全公司直到现在才开始为主流用户设计安全扫描机制。
如前所述,UEFI固件依旧是一个难以访问的黑盒子。这既使得它对正义或邪恶两方都提供强大的功能,但同时也让攻击变得很困难,因为它们依赖大量的技能来编写固件,并以某种方式将其部署在目标计算机上。从Hacking Team所泄露的信息,再加上这次新的调查研究,莫不显示这类攻击几乎肯定会变得更加普遍。
(首图来源:pixabay)