俄羅斯駭客開發的“lojax”uefi rootkit是什麼？

反惡意軟體不會保護您免受rootkit感染，那麼您可以對新的LoJax感染做些什麼？...

rootkit是一種特別惡劣的惡意軟件。當您進入操作系統時，會加載“常規”惡意軟件感染。這仍然是一個糟糕的情況，但一個像樣的殺毒軟件應該刪除惡意軟件和清理你的系統。

相反，rootkit會安裝到系統固件中，並允許在每次重新啟動系統時安裝惡意負載。

安全研究人員在野外發現了一種新的rootkit變體，名為LoJax。是什麼讓這個rootkit與眾不同？嗯，它可以感染現代的基於UEFI的系統，而不是老式的基於BIOS的系統。這是個問題。

lojax uefi rootkit

ESET研究發表了一篇研究論文，詳細介紹了LoJax，一個新發現的rootkit（什麼是rootkit？）成功地重新使用同名的商業軟件。（儘管研究小組將惡意軟件命名為“LoJax”，但真正的軟件卻被命名為“LoJack”。）

更大的威脅是，LoJax可以在完整的Windows重新安裝甚至更換硬盤驅動器後倖存下來。

惡意軟件通過攻擊UEFI固件引導系統生存。其他rootkit可能隱藏在驅動程序或引導扇區中，這取決於它們的編碼和攻擊者的意圖。LoJax鉤住系統固件並在操作系統加載之前重新感染系統。

到目前為止，唯一已知的完全刪除LoJax惡意軟件的方法是在可疑係統上刷新新固件。固件閃存並不是大多數用戶都有過的體驗。雖然比過去容易，但仍然有一個重要的問題，那就是刷新固件會出錯，有可能會阻塞正在討論的機器。

lojax rootkit是如何工作的？

LoJax使用了Absolute Software的LoJack防盜軟件的重新打包版本。原始工具意味著在整個系統擦除或硬盤更換過程中都是持久的，因此被許可方可以跟蹤被盜設備。該工具深入電腦的原因是相當合理的，而LoJack仍然是一個流行的防盜產品，這些確切的質量。

鑑於在美國，97%的被盜筆記本電腦從未被追回，因此用戶希望獲得額外的保護以獲得如此昂貴的投資是可以理解的。

LoJax使用內核驅動程序，RwDrv.sys，以訪問BIOS/UEFI設置。內核驅動程序與RWEvery捆綁在一起，這是一個合法的工具，用於讀取和分析低級計算機設置（通常您無法訪問的位）。LoJax rootkit感染過程中還有三種其他工具：

第一個工具將有關低級系統設置的信息（從rweething複製）轉儲到文本文件中。繞過針對惡意固件更新的系統保護需要了解系統。
第二個工具“通過讀取SPI閃存的內容將系統固件的映像保存到文件中。”SPI閃存承載UEFI/BIOS。
第三個工具將惡意模塊添加到固件映像，然後將其寫回SPI閃存。

如果LoJax意識到SPI閃存受到保護，它會利用已知的漏洞（CVE-2014-8273）訪問它，然後繼續並將rootkit寫入內存。

lojax是從哪裡來的？

ESET研究小組認為，LoJax是臭名昭著的Fancy Bear/Sednit/Strontium/APT28俄羅斯黑客組織的作品。這個黑客組織對近年來的幾起重大攻擊負有責任。

LoJax使用與SedUploader相同的命令和控制服務器——另一個Sednit後門惡意軟件。LoJax還擁有其他Sednit惡意軟件的鏈接和跟蹤，包括XAgent（另一個後門工具）和Xiannel（一個安全的****工具）。

此外，ESET的研究發現，惡意軟件運營商“利用LoJax惡意軟件的不同組件，將目標鎖定在巴爾幹半島以及中歐和東歐的一些**組織。”

lojax不是第一個uefi rootkit

洛賈克斯的消息無疑引起了安全界的關注。然而，它並不是第一個UEFI rootkit。黑客團隊（一個惡意組織，以防萬一）早在2015年就在使用UEFI/BIOS rootkit在目標系統上安裝遠程控制系統代理。

黑客團隊UEFI rootkit和LoJax的主要區別是交付方法。當時，安全研究人員認為黑客團隊需要物理訪問系統來安裝固件級的感染。當然，如果有人直接訪問你的電腦，他們可以做他們想要的事情。不過，UEFI rootkit還是特別討厭。

您的系統是否面臨來自lojax的風險？

現代的基於UEFI的系統與舊的基於BIOS的系統相比有幾個明顯的優勢。

首先，它們比較新。新的硬件並不是最終的目標，但它確實使許多計算任務變得更容易。

其次，UEFI固件也有一些附加的安全特性。特別值得注意的是安全引導，它只允許帶有簽名數字簽名的程序運行。

如果關閉此選項，並且遇到rootkit，您將度過一段不愉快的時光。在當前勒索軟件時代，安全引導也是一個特別有用的工具。請查看以下有關Secure Boot處理極其危險的NotPetya勒索軟件的視頻：

如果關閉安全引導，NotPetya會加密目標系統上的所有內容。

LoJax是一種完全不同的野獸。與以前的報告相反，即使是安全引導也不能停止LoJax。保持UEFI固件的最新是非常重要的。還有一些專門的反rootkit工具，但是不清楚它們是否能夠保護自己免受LoJax的攻擊。

但是，與許多具有此級別功能的威脅一樣，您的計算機也是主要目標。高級惡意軟件主要集中在高級目標上。此外，LoJax有民族國家威脅行為者參與的跡象；另一個很有可能LoJax短期內不會影響你。也就是說，惡意軟件有一種方式可以過濾到這個世界上。如果網絡犯罪分子發現了LoJax的成功使用，它可能會在常規的惡意軟件攻擊中變得更加常見。

和以往一樣，讓系統保持最新是保護系統的最佳方法之一。Malwarebytes高級訂閱也是一個很大的幫助。