科技

当前位置/首页/要闻频道/科技/正文

MoonBounce 恶意软件隐藏在您的 BIOS 芯片中

导读 一种新型的恶意软件在您的操作系统中采取了一种更加隐蔽且难以移除的路径——它隐藏在您的 BIOS 芯片中,因此即使在您重新安装操作系统或...

一种新型的恶意软件在您的操作系统中采取了一种更加隐蔽且难以移除的路径——它隐藏在您的 BIOS 芯片中,因此即使在您重新安装操作系统或格式化硬盘驱动器后仍然存在。

卡巴斯基观察到自 2019 年以来统一可扩展固件接口 (UEFI) 固件恶意软件威胁的增长,其大多数恶意软件存储在 PC 存储设备的 EFI 系统分区上。然而,卡巴斯基的固件扫描仪日志检测到新的 UEFI 恶意软件在新的一年出现了一个险恶的发展,该恶意软件将恶意代码植入主板的串行外设接口 (SPI) 闪存中。安全研究人员将这种驻留在闪存中的 UEFI 恶意软件称为“MoonBounce”。

MoonBounce 并不是第一个在野外发现的针对 SPI 闪存的 UEFI 恶意软件。卡巴斯基表示,LoJax 和 MosaicRegressor 之类的产品出现在它之前。然而,MoonBounce 显示出“显着的进步,具有更复杂的攻击流程和更高的技术复杂性”。它似乎也远程感染了一台机器。

不可否认,MoonBounce 在进入系统的方式上非常聪明,并且难以检测和处理。卡巴斯基在其 SecureList 博客上解释说:“感染源始于一组钩子,这些钩子拦截了 EFI 引导服务表中多个函数的执行。” 然后使用这些钩子将函数调用转移到攻击者附加到 CORE_DXE 映像的恶意 shellcode。反过来,这“在引导链的后续组件中设置了额外的钩子,即 Windows 加载程序,”安全研究人员说。这允许在计算机启动进入 Windows 时将恶意软件注入到 svchost.exe 进程中。

运输技术公司是迄今为止唯一记录的攻击

当然,卡巴斯基很想知道恶意软件接下来会做什么。因此,在受感染的机器上,研究人员观察到恶意软件进程尝试访问 URL 以获取下一阶段的有效负载并在内存中运行。有趣的是,复杂攻击的这一部分似乎没有任何进展,因此无法分析 MoonBounce 中的任何进一步步骤。也许这个恶意软件在被发现时仍在测试中,和/或出于特殊目的而被阻止。此外,该恶意软件不是基于文件的,至少它的一些操作只在内存中进行,因此很难准确地看到 MoonBounce 在公司网络上的单个主机 PC 上做了什么。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。