“UEFI rootkit”

UEFI Rootkit 定义

UEFI rootkit 是一种复杂的恶意软件，感染计算机主板上的统一可扩展固件接口（UEFI）。UEFI 负责启动操作系统和初始化硬件组件，因此成为攻击者寻求对系统进行持久和隐秘控制的目标。

UEFI rootkit 特别危险，因为它们可以在一个特权级别上运行，使其能够绕过传统的安全措施，并且不被杀毒软件检测到。由于寄生在 UEFI 固件中，这些 rootkit 可以在操作系统加载之前执行其恶意代码，使其极难被检测和移除。这使得黑客能够长期控制被感染的系统，即使操作系统被重新安装或硬盘被格式化。

UEFI Rootkit 的工作原理

UEFI rootkit 通过各种途径进入系统，比如钓鱼邮件、驱动下载或利用软件应用中的漏洞。一旦进入计算机，它们便利用 UEFI 固件中的安全漏洞并对其进行修改，以确保代码在操作系统加载之前执行。这样 rootkit 就能够建立持久存在并在深层次上控制计算机。

UEFI rootkit 使用多种策略来保持其对已妥协系统的隐秘和持久控制：

安装

UEFI rootkit 通常在系统的低级别安装自身，替换或修改 UEFI 固件。通过这样做，他们确保其代码在操作系统之前运行，从而完全控制系统的操作。这个安装过程使得传统杀毒软件难以检测和移除 rootkit。

隐蔽

通过寄生在 UEFI 固件中，UEFI rootkit 能够规避传统的杀毒和安全软件，因为这些解决方案主要聚焦于扫描操作系统和应用程序。UEFI rootkit 在操作系统加载之前执行其恶意代码，使其对这些软件不可见。这种隐蔽性使其能够规避检测并继续其恶意活动而不被发现。

持久性

一旦安装，UEFI rootkit 即使操作系统被重新安装或硬盘被格式化也能够保持对系统的控制。这种持久性通过修改 UEFI 固件来实现，即便系统的其他部分被重装时它也能保持不变。这使得攻击者在用户采取措施移除 rootkit 之后仍能重新获得对被妥协系统的控制。

预防技巧

防范 UEFI rootkit 需要采取主动措施来保护 UEFI 固件并检测任何潜在妥协。以下是一些预防技巧：

固件更新

定期更新计算机或主板制造商提供的 UEFI 固件。这些更新通常包括解决已知漏洞的安全补丁，包括那些可能被 rootkit 利用的漏洞。通过保持固件的最新状态，可以显著降低 UEFI rootkit 感染的风险。

安全启动

启用 Secure Boot，这是 UEFI 中的一个特性，可以通过仅允许执行受信任的数字签名代码来确保启动过程的完整性。Secure Boot 验证引导程序和操作系统的真实性和完整性，以防止未经授权的修改或恶意代码的执行。启用 Secure Boot 可以帮助防止 UEFI rootkit 渗透启动过程。

硬件安全

通过使用 BIOS 写保护机制来物理保护 UEFI 固件（如果可用）。这些机制可以防止固件被未经授权的修改，并使得 UEFI rootkit 更难以篡改系统。检查计算机或主板的文档以确定是否有写保护机制可用以及如何启用它们。

UEFI Rootkit 攻击实例

不幸的是，由于 UEFI rootkit 的隐蔽性质以及检测的挑战，关于其具体攻击实例的信息有限。但是，研究人员和安全专家一直在研究和分析 UEFI rootkit，以更好地了解其能力及其可能对计算机系统的影响。以下是一些突出的实例，强调了 UEFI rootkit 的严重性：

• LoJax：2018 年，ESET 的研究人员发现了一个名为 LoJax 的 UEFI rootkit，被一个名为 Sednit（也称为 APT28 和 Fancy Bear）的间谍组织使用。LoJax 感染了目标系统的 UEFI 固件，使得攻击者能够持续远程控制和监控被感染的设备。

• 基于固件的 Rootkits：一些 UEFI rootkit 专门设计用于针对特定设备或制造商的固件。例如，Invisible Things Lab 的“Malware is Firmware”项目揭示了能够感染 Apple MacBook 笔记本电脑固件的基于固件的 rootkit，显示了 UEFI rootkit 攻击可以是平台特定的。

尽管具体的 UEFI rootkit 攻击实例可能没有被广泛报道，但了解这些隐秘恶意软件威胁所带来的潜在风险是很重要的。

UEFI rootkit 对计算机系统的安全性和完整性构成重大威胁。通过感染 UEFI 固件，这些 rootkit 可以建立持久的控制，并规避传统安全措施的检测。预防涉及定期固件更新、启用 Secure Boot 和利用硬件安全功能。必须保持警惕并主动防范 UEFI rootkit 以确保计算机系统和数据的完整性。