ESET暴露Lojax:首先利用UEFI rootkit的情况

时间: 2018-10-03 23:48:55 作者: 管理员

ESET安全专家刚刚宣布,他们发现了第一次使用领域的“统一的可伸缩的主机接口”(UEFI)rootkit的情况。恶意软件被称为Lojax,“先进的持续威胁(APT)Sednit组织(又名APT28、锶、Sofacy或花哨的熊),用于攻击欧洲巴尔干半岛和东部的中央政府机构。安全研究人员说,他们发现了UEFI rootkit必将“修复”受害者系统固件工具,以便Lojax恶意软件安装在目标系统上的深底。

ESET声称UEFI书写系统SPI闪存模块,rootkit已成功使用一次。这个模块可以在系统启动过程中,在磁盘上执行恶意软件。

研究人员注意到持久的入侵,因为它可以重装系统后仍然活着,或更换硬盘——除非你flash,再次清理UEFI系统固件。

尽管UEFI重刷固件解决方案很简单,但并不是每个人都可以很容易地执行。值得庆幸的是,ESET指出UEFI rootkit没有正确的签名。

这意味着,借助任何形式的恶意软件的攻击,可以避免通过启用安全机制。ESET推荐这么做,为了严格的身份验证系统固件加载每个组件的签名是正确的。

Sednit在全球攻击几个高知名度,搅拌混合水,包括在2016年总统大选之前,鉴于民主党全国委员会(DNC)发起的黑客。

该组织被认为是俄罗斯政府资助的背景,和最近发现美方保守团体的欺骗。