殺毒軟件卡巴斯基曝光新型bootkit惡意軟件威脅！無法通過重裝或換硬盤解決

卡巴斯基安全研究人員周四報道稱，他們剛剛發現了一種會感染計算機 UEFI 固件的新型 bootkit 威脅。據悉，同類 bootkit 通常會將代碼放到硬盤的 EFI 系統分區。但糟糕的是，受害者無法通過簡單操作來移除 New MoonBounce UEFI bootkit —— 因為它感染的是主板上的 SPI 缺陷存儲區。

卡巴斯基在近日的一篇 SecureList 文章中寫道，作為其迄今接觸到的第三個 UEFI bootkit 威脅（前兩個是 LoJax 和 MosaicRegressor），該 bootkit 會感染并存儲于 SPI 區域。

隨著 MoonBounce 的曝光，研究人員還在最近幾個月里了解到了其它 UEFI 引導包（ESPectre、FinSpy 等）。這意味著此前無法通過 UEFI 做到的事情，現在正在逐漸成為“新常態”。

比如傳統 bootkit 威脅可嘗試通過重裝系統或更換硬盤來輕松規避，而 MoonBounce 則必須刷新 SPI 存儲區（操作相當復雜）或換主板。

至于 MoonBounce 本身，研究發現它已被用于維持對受感染主機的訪問、并在后續的（第二階段）惡意軟件部署過程中發揮各種可執行的特性。

慶幸的是，目前卡巴斯基僅在某家運輸服務企業的網絡上看到一次 MoonBounce 部署、且基于部署在受感染的網絡上的其它惡意軟件而實現。

通過一番調查分析，其認為制作者很可能來自 APT41 。此外受害者網絡上發現的其它惡意軟件，也被發現與同一服務基礎設施開展通信，意味其很可能借此來接收指令。

剩下的問題是，該 bootkit 最初到底是如何被安裝的？如上圖所示，wbemcomn.dll 文件中被附加了 IAT 條目，可在 WMI 服務啟動時強制加載 Stealth Vector 。

有鑒于此，卡巴斯基團隊建議 IT 管理員定期更新 UEFI 固件、并驗證 BootGuard（如果適用）是否已啟用。有條件的話，更可借助 TPM 可信平臺模塊來加強硬件保障。