DaveC
@davecode
說
Tue, Jan 25, 2022 5:16 AM
30
29
第三款UEFI惡意程式MoonBounce現身,格式化硬碟或重灌系統都拿它沒輒
ref
一旦UEFI被植入Bootkit,由於相關的程式碼存放在硬碟之外的SPI快閃記憶體,而且是在載入作業系統之前就執行,使得它不僅很難偵測,就算重新安裝作業系統或重新格式化硬碟,也都無法移除它。
DaveC
@davecode
說
Tue, Jan 25, 2022 5:16 AM
分析顯示,MoonBounce比它的前輩們更為先進與精細,有別於LoJax與MosaicRegressor都利用額外的DXE驅動程式,MoonBounce選擇竄改既有的韌體元件,把一個先前屬於良性的核心元件變成惡意元件,藉由複雜的手法讓惡意元件進入作業系統,以與遠端的C&C伺服器互動,並下載其它惡意酬載,亦未留下任何的感染足跡。
DaveC
@davecode
說
Tue, Jan 25, 2022 5:18 AM
根據資安社群的分析,迄今UEFI Bootkit攻擊多半是為了於受害組織中橫向移動並竊取資料,再加上它的隱匿特性,猜測駭客的目的為
持續性的間諜行動。
APT
防護越來越難
DaveC
@davecode
說
Tue, Jan 25, 2022 5:20 AM
卡巴斯基建議組織應定期更新UEFI韌體且只使用可靠來源的韌體,於預設啟用安全啟動,以及部署端點防護產品。
---吐糟一下, Secure Boot 不是防護這個攻擊,而是監視你只能用特定作業系統來開機。
沃夫☆:除弊務盡
@wolfgangc
說
Tue, Jan 25, 2022 6:18 AM
定期更新 UEFI 是很困難的事,而且無法保證可信來源不受感染影響
DaveC
@davecode
說
Tue, Jan 25, 2022 7:30 AM
以前
486, 586
更正在 AMD K7主機板時,常常刷 FLASH 來超頻 。後來我沒有做這種事了
沃夫☆:除弊務盡
@wolfgangc
說
Tue, Jan 25, 2022 7:58 AM
俄製UEFI可以開啟某些原本沒顯示的功能
(非針對當事國
沃夫☆:除弊務盡
@wolfgangc
說
Tue, Jan 25, 2022 7:59 AM
相同狀況也可能出現在一般的手機、路由器上
權限只有兩串蕉@鼠泥
@mouseni
Tue, Jan 25, 2022 10:13 AM
我家HP的 NB 一段時間跑 windows update 就會被更新UEFI
前天去處理一個Dell PC跑完更新被更UEFI 後,休眠鍵盤滑鼠就死掉沒回應,進去調整重新存檔後功能又正常了
載入新的回覆
ref
一旦UEFI被植入Bootkit,由於相關的程式碼存放在硬碟之外的SPI快閃記憶體,而且是在載入作業系統之前就執行,使得它不僅很難偵測,就算重新安裝作業系統或重新格式化硬碟,也都無法移除它。
APT 防護越來越難
---吐糟一下, Secure Boot 不是防護這個攻擊,而是監視你只能用特定作業系統來開機。
486, 586更正在 AMD K7主機板時,常常刷 FLASH 來超頻 。後來我沒有做這種事了俄製UEFI可以開啟某些原本沒顯示的功能(非針對當事國前天去處理一個Dell PC跑完更新被更UEFI 後,休眠鍵盤滑鼠就死掉沒回應,進去調整重新存檔後功能又正常了