bootkitit病毒 重装系统或换硬盘都不行

2022年1月24日15:07:04震惊趣事29阅读模式

道高一尺,魔高一丈。科技在进步,病毒也紧随其后,这不卡巴斯基最新截获的bootkitit病毒,不是你重装系统或者换个硬盘就能解决的了。

卡巴斯基安全研究人员周四报道称,他们刚刚发现了一种会感染计算机 UEFI 固件的新型 bootkit 威胁。据悉,同类 bootkit 通常会将代码放到硬盘的 EFI 系统分区。但糟糕的是,受害者无法通过简单操作来移除 New MoonBounce UEFI bootkit —— 因为它感染的是主板上的 SPI 缺陷存储区。

bootkitit病毒 重装系统或换硬盘都不行

卡巴斯基在近日的一篇 SecureList 文章中写道,作为其迄今接触到的第三个 UEFI bootkit 威胁(前两个是 LoJax 和 MosaicRegressor),该 bootkit 会感染并存储于 SPI 区域。

随着 MoonBounce 的曝光,研究人员还在最近几个月里了解到了其它 UEFI 引导包(ESPectre、FinSpy 等)。这意味着此前无法通过 UEFI 做到的事情,现在正在逐渐成为“新常态”。

比如传统 bootkit 威胁可尝试通过重装系统或更换硬盘来轻松规避,而 MoonBounce 则必须刷新 SPI 存储区(操作相当复杂)或换主板。

至于 MoonBounce 本身,研究发现它已被用于维持对受感染主机的访问、并在后续的(第二阶段)恶意软件部署过程中发挥各种可执行的特性。

bootkitit病毒 重装系统或换硬盘都不行

庆幸的是,目前卡巴斯基仅在某家运输服务企业的网络上看到一次 MoonBounce 部署、且基于部署在受感染的网络上的其它恶意软件而实现。

通过一番调查分析,其认为制作者很可能来自 APT41 。此外受害者网络上发现的其它恶意软件,也被发现与同一服务基础设施开展通信,意味其很可能借此来接收指令。

剩下的问题是,该 bootkit 最初到底是如何被安装的?如上图所示,wbemcomn.dll 文件中被附加了 IAT 条目,可在 WMI 服务启动时强制加载 Stealth Vector 。

有鉴于此,卡巴斯基团队建议 IT 管理员定期更新 UEFI 固件、并验证 BootGuard(如果适用)是否已启用。有条件的话,更可借助 TPM 可信平台模块来加强硬件保障。

诺贝尔奖怎么来的 为何一直发不完 震惊趣事

诺贝尔奖怎么来的 为何一直发不完

自2023年10月2日起,一年一度的诺贝尔奖“开奖周”正式拉开帷幕,六大奖项将逐次揭晓。 回看漫漫颁奖史,这一奖项背后的冷知识,你知道多少?近千名获奖个人和组织中,又有多少女性收获殊荣?为什么各奖项的...
新房玄关禁忌 影响运势 震惊趣事

新房玄关禁忌 影响运势

许多人习惯房子一打开,就看见玄关。玄关这一空间,如同房子的咽喉般。为什么这么说呢?因为对大家来说,作为室内与室外的过渡空间、又称“内明堂”的玄关,可谓是大门跟客厅绝佳的缓冲地带,不仅做到视觉屏障,保护...