• 發布單位:TWCERT/CC
• 更新日期:2020-05-26
• 點閱次數:433

ESET 偵測到首支隱藏於 UEFI(Unified Extensible Firmware Interface，以下簡稱UEFI)中的 Rootkit 型惡意軟體 LoJax 與攻擊事件，該型惡意軟體由於位在非常低階的系統區域，因此極難移除。

長期追蹤各種攻擊事件的資安公司 ESET 指出，他們發現全球首個攻擊 Windows UEFI，隱藏在系統主機板 Flash 記憶體中的 Rootkit 型惡意程式。

該單位研究員 Fédréic Vachon 在於德國萊比錫舉辦的一場研討會上分享了這個案例。他指出，能夠隱藏在系統 Flash 中的 Rootkit 型惡意程式，近年來是大家的研究重點，但過去一直沒有掌握真實的攻擊事件。

這支被發現的 Rootkit 惡意程式名為 LoJax，是由惡意攻擊團體 Sednit 修改 Absolute Software 公司的產品 LoJack 而來；這個軟體的作用是幫助筆記型電腦用戶在自己的筆電被竊時，仍能從其他 PC 存取筆電上的資料。

Sednit 利用 LoJax 2009 版本的漏洞，將惡意程式透過釣魚郵件夾檔感染受害者的 Internet Explorer 瀏覽器，再將 LoJax 安裝到 UEFI 中。由於這個軟體隱藏在電腦的 UEFI 用以控制周邊設備的 SPI(Serial Peripheral Interface，以下簡稱SPI) Flash 記憶體之中，而且會在作業系統和防毒軟體啟動前先執行，因此即使電腦的硬碟遭到更換，該軟體仍然存在且可運作。

一旦感染 LoJax，用戶除了清除整個 SPI Flash記憶體或是丟棄該主機板，沒有別的方法可以移除。

ESET 在去年九月起開始偵測到透過 LoJax 發動的攻擊事件，主要的受害者是中歐及東歐各國政府單位的電腦主機。

Vachon 表示，用戶可以啟用 UEFI 中的 Secure Boot 功能，並且經常更新韌體，以避免這類惡意程式造成傷害。

參考連結：

https://threatpost.com/uefi-rootkit-sednit/140420/
https://github.com/eset/malware-ioc/blob/8864a5aa6c98b95d4fd9624b5f36c3dee65fdeba/sednit/README.adoc
https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf