總部位于斯洛伐克布拉迪斯拉發的世界知名電腦安全軟件公司ESET于本周四(9月27日)發布的一份題為《LOJAX ：First UEFI rootkit found in the wild, courtesy of the Sednit group》的白皮書中公開披露了據稱是第一個在現實攻擊活動中被捕獲的UEFI rootkit，它具備很強的生存能力，即使是在受害者重裝系統、更換硬盤之后也依然能夠存活。

什么是UEFI rootkit?

無論是“UEFI”還是“Rootkit”，有些讀者可能都會對它們感到陌生。沒關系，百度百科已經給了我們較詳細的科普。

UEFI，全稱“統一可擴展固件接口(Unified Extensible Firmware Interface)”，是一種詳細描述類型接口的標準。這種接口用于操作系統自動從預啟動的操作環境，加載到一種操作系統上。它是傳統BIOS的替代品，是計算機的核心和關鍵固件組件。

[[245173]]

Rootkit，一種特殊的惡意軟件，它的功能是在安裝目標上隱藏自身及指定的文件、進程和網絡鏈接等信息，通常與木馬、后門等其他惡意程序結合使用。

在了解了這兩個關鍵名詞之后，相信大家對UEFI rootkit就已經有了一個初步的概念。它實質上就是一種能夠攻擊UEFI固件的計算機病毒，而下面要介紹的就是最新被發現的一個UEFI rootkit——Lojax。

LoJax與APT28有關

ESET的安全研究人員表示，被稱為LoJax的UEFI rootkit不出意外應該是臭名昭著的Sednit組織(又名APT28、Fancy Bear、Strontium和Sofacy)所進行的惡意軟件活動的一部分，目標是巴爾干以及歐洲中東部的幾個政府組織。

Sednit組織至少開始運營于2007年，且被認為是一個有著國家背景的黑客組織，據信是俄羅斯軍事情報機構GRU(General Staff Main Intelligence Directorate)的一個部門。該黑客組織與許多轟動一時的網絡攻擊事件有關，包括在美國2016年總統大選之前針對美國民主黨全國委員會(DNC)的攻擊。

為什么被稱作LoJax?

根據ESET研究人員的說法，LoJax原本是Absolute Software公司在2017年初推出的一款深受用戶歡迎的合法筆記本電腦防盜軟件，能夠向用戶報告其筆記本電腦的實時位置。即使是在操作系統被重新安裝或者硬盤被更換的情況下依然能夠工作，而這是通過LoJax軟件將其代理安裝到系統的BIOS中來實現的。

此次被公開披露的這個UEFI rootkit便是黑客對LoJax軟件稍作修改之后而來的，同樣具備覆蓋UEFI固件的能力，但改變了與Absolute Software服務器通信的后臺進程，使得它會向Sednit組織的C&C服務器進行報告。

在分析了LoJax惡意軟件樣本之后，研究人員發現Sednit組織使用了一個名為“ReWriter_binary”的組件來重寫易受攻擊的UEFI芯片——用他們的惡意代碼替換了芯片供應商的代碼。

LoJax很難被清除

LoJax惡意軟件能夠將惡意UEFI固件副本寫入系統的SPI閃存，允許BIOS固件在啟動過程中在計算機硬盤內部安裝和執行惡意軟件。具體來說，這個UEFI rootkit在實施攻擊的過程中，會涉及到使用多個模塊以及多種攻擊方法。

在攻擊開始之前，它會先釋放模塊用于收集固件的詳細信息，然后通過讀取UEFI固件所在的SPI閃存模塊來創建攜帶LoJax惡意軟件的固件副本，接著再將副本寫回到系統的SPI閃存。

在完成了最后的步驟之后，這個UEFI rootkit也就擁有了對設備和操作系統造成持續性破壞的能力。即使是被發現，受害者也不會有太好的辦法來處理它。

簡單來說，Lojax惡意軟件被安裝在目標系統的底層深處。也正是因為如此，它具備很強的生存能力——能夠在操作系統啟動之前重新感染系統。因此，即使是重新安裝操作系統、格式化硬盤，甚至是更換新硬盤都不足以清除這種感染。

如何清除、如何防御?

ESET的安全研究人員表示，清除此類UEFI rootkit的唯一方法是使用合法軟件刷新被感染的固件。然而，對于大多數普通計算機用戶而言，這通常不會是一項簡單的任務。

值得慶幸的是，研究人員指出，由于這個UEFI rootkit并沒有正確的簽名，因此大家可以通過啟用安全啟動機制來保護自己的計算機免受LoJax惡意軟件的感染，從而確保系統固件加載的每一個組件都使用的是有效證書并進行了正確的簽名。

如果你已經感染了該惡意軟件，那么你能做的也就只剩下使用對應主板的干凈固件映像重新刷新SPI閃存。這是一個非常繁瑣的過程，必須手動進行且需要掌握相應的專業知識。當然，這里還有一個更簡單、直接的辦法——更換受感染的主板。