卡巴斯基安全研究人員周四報道稱，他們剛剛發(fā)現(xiàn)了一種會感染計算機 UEFI 固件的新型 bootkit 威脅。據(jù)悉，同類 bootkit 通常會將代碼放到硬盤的 EFI 系統(tǒng)分區(qū)。但糟糕的是，受害者無法通過簡單操作來移除 New MoonBounce UEFI bootkit —— 因為它感染的是主板上的 SPI 缺陷存儲區(qū)。

訪問：

微軟Surface精選機型特惠6.3折起 翻新機滿100減100

MoonBounce 感染流程（圖自：Kaspersky 官網(wǎng)）

卡巴斯基在近日的一篇 SecureList 文章中寫道，作為其迄今接觸到的第三個 UEFI bootkit 威脅（前兩個是 LoJax 和 MosaicRegressor），該 bootkit 會感染并存儲于 SPI 區(qū)域。

隨著 MoonBounce 的曝光，研究人員還在最近幾個月里了解到了其它 UEFI 引導(dǎo)包（ESPectre、FinSpy 等）。這意味著此前無法通過 UEFI 做到的事情，現(xiàn)在正在逐漸成為“新常態(tài)”。

比如傳統(tǒng) bootkit 威脅可嘗試通過重裝系統(tǒng)或更換硬盤來輕松規(guī)避，而 MoonBounce 則必須刷新 SPI 存儲區(qū)（操作相當(dāng)復(fù)雜）或換主板。

至于 MoonBounce 本身，研究發(fā)現(xiàn)它已被用于維持對受感染主機的訪問、并在后續(xù)的（第二階段）惡意軟件部署過程中發(fā)揮各種可執(zhí)行的特性。

慶幸的是，目前卡巴斯基僅在某家運輸服務(wù)企業(yè)的網(wǎng)絡(luò)上看到一次 MoonBounce 部署、且基于部署在受感染的網(wǎng)絡(luò)上的其它惡意軟件而實現(xiàn)。

通過一番調(diào)查分析，其認(rèn)為制作者很可能來自 APT41 。此外受害者網(wǎng)絡(luò)上發(fā)現(xiàn)的其它惡意軟件，也被發(fā)現(xiàn)與同一服務(wù)基礎(chǔ)設(shè)施開展通信，意味其很可能借此來接收指令。

剩下的問題是，該 bootkit 最初到底是如何被安裝的？如上圖所示，wbemcomn.dll 文件中被附加了 IAT 條目，可在 WMI 服務(wù)啟動時強制加載 Stealth Vector 。

有鑒于此，卡巴斯基團隊建議 IT 管理員定期更新 UEFI 固件、并驗證 BootGuard（如果適用）是否已啟用。有條件的話，更可借助 TPM 可信平臺模塊來加強硬件保障。

關(guān)鍵詞： 安全 - Kaspersky 卡巴斯基 卡巴斯基曝光新型bootkit