2022年1月20日

更隐蔽和更持久：第三个已知固件bootkit显示出重大进步

卡巴斯基研究人员在野外发现了第三例固件bootkit案例。这种恶意植入物被称为MoonBounce，它隐藏在计算机的统一可扩展固件接口（UEFI）固件中，是计算机的重要组成部分，位于SPI闪存中，是硬盘外的存储组件。这种植入物是出了名的难以清除，而且对安全产品的可见度有限。MoonBounce最早在2021年春季出现在野外，该威胁展示出一个复杂的攻击流程，与之前报道的 UEFI 固件bootkit相比具有明显的进步。卡巴斯基研究人员对这次攻击进行溯源研究，相当有把握地认为该威胁来自知名的高级可持续威胁（APT）行为者APT41。

卡巴斯基研究人员在野外发现了第三例固件bootkit案例。这种恶意植入物被称为MoonBounce，它隐藏在计算机的统一可扩展固件接口（UEFI）固件中，是计算机的重要组成部分，位于SPI闪存中，是硬盘外的存储组件。这种植入物是出了名的难以清除，而且对安全产品的可见度有限。MoonBounce最早在2021年春季出现在野外，该威胁展示出一个复杂的攻击流程，与之前报道的 UEFI 固件bootkit相比具有明显的进步。卡巴斯基研究人员对这次攻击进行溯源研究，相当有把握地认为该威胁来自知名的高级可持续威胁（APT）行为者APT41。

UEFI固件是绝大多数计算机中的关键组件；其代码负责启动设备，将控制权传递给加载操作系统的软件。这段代码位于SPI闪存中，它是硬盘驱动器外部的存储组件。如果该固件中包含恶意代码，则此代码将在操作系统之前启动，使得固件bootkiet植入的恶意软件特别难以清除；这些恶意软件无法通过简单的格式化硬盘或重新安装操作系统来清除。更重要的是，由于这些代码位于磁盘驱动器之外，这种bootkit的活动几乎不会被大多数安全解决方案发现，除非这些安全解决方案有专门扫描这部分设备的功能。

MoonBounce是第三个在野外发现的UEFI bootkit。该bootkit最早出现于2021年春季，是由卡巴斯基研究人员在查看其固件扫描程序的活动时发现的。这种固件扫描程序自2019年初以来一直包含在卡巴斯基产品中，专门用于检测隐藏在ROM BIOS中的威胁，包括UEFI固件镜像。与之前发现的两个 bootkits LoJax 和 MosaicRegressor 相比，MoonBounce表现出明显的进步，攻击流程更复杂，技术更先进。

植入物位于固件的CORE_DXE 组件中，该组件在 UEFI 启动序列的早期被调用。然后，通过一系列拦截某些功能的钩子，植入物的组件进入操作系统，然后联系命令和控制服务器，以检索我们无法检索的更多恶意负载。值得注意的是，感染链本身不会在磁盘上留下任何痕迹，因为其组件仅在内存中运行，从而便于进行占用空间小的无文件攻击。

在分析MoonBounce时，卡巴斯基研究人员在同一网络的多个节点上发现了多个恶意加载程序和利用后恶意软件。这包括ScrambleCross或Sidewalk，一种能够与C2服务器交换信息和执行额外插件的内存植入物；还有Mimikat_ssp，一种用于转储凭据和安全机密的公开可用的利用后工具；一种之前未知的基于Golang的后门程序以及Microcin，一种通常被 SixLittleMonkeys 威胁行为者使用的恶意软件。

目前，具体的感染媒介仍然未知，但据推测，感染是通过远程访问目标机器发生的。此外，虽然 LoJax 和 MosaicRegressor 使用了附加的 DXE 驱动程序，但 MoonBounce 修改了现有的固件组件以进行更难以察觉和更隐蔽的攻击。

在针对这个网络进行的整体攻击行动中，很明显，攻击者实施了广泛的行动，例如归档文件和收集网络信息。攻击者在整个攻击活动中使用的命令表明，他们对横向移动和数据渗透感兴趣，并且，鉴于使用了UEFI植入物，攻击者很可能对进行持续的间谍活动感兴趣。

在对MoonBounce进行溯源时，卡巴斯基研究热源相当自信认为该威胁属于APT41，根据相关报告， APT41是一个说中文的威胁行为组织，至少从2012年起就在全球开展网络间谍和网络犯罪活动。此外，在同一个网络中发现的上述恶意软件也表明，APT41可能与其他说中文的威胁行为者存在联系。

到目前为止，仅在一个案例中发现了这种固件 bootkit。但是，已经在其他几个受害者的网络中被发现了其他附属的恶意样本（如ScrambleCross及其加载器）。

“虽然我们不能明确地将研究期间发现的其他恶意软件植入物与MoonBounce联系起来，但似乎某些说中文的威胁行为者正在互相分享工具，以帮助他们进行攻击活动；特别是MoonBounce和Microcin之前存在关联的可能性不高，”全球研究与分析团队（GReAT）高级安全研究员Denis Legezo补充说。

“也许更重要的是，与我们在2020年报道的 MosaicRegressor 相比，这个最新的UEFI bootkit显示出同样明显的进步。事实上，将固件中以前的良性核心组件转变为可以促进恶意软件在系统上部署的组件，这是一种创新，在以前的同类固件bootkit中没有看到，而且还使威胁变得更加隐蔽。早在2018年，我们就预测UEFI威胁将越来越流行，而这一趋势似乎正在成为现实。如果在2022年发现更多的bootkit，我们不会感到惊讶。幸运的是，供应商已经开始更加关注固件攻击，更多的固件安全技术，如BootGuard和受信任平台模块技术正在逐步被采用，”卡巴斯基全球研究与分析团队（GReAT）高级安全研究员Mark Lechtik评论说。

更多有关MoonBounce的详细分析，请阅读Securelist上的完整报告。

为了抵御像MoonBounce这样的UEFI bootkit的攻击，卡巴斯基建议：

为您的SOC团队提供对最新威胁情报（TI）的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点，提供卡巴斯基超过20年来收集的网络攻击数据以及见解。
为了实现端点级别的检测和及时的调查和修复，请部署EDR解决方案，例如卡巴斯基端点检测和响应。
使用能够检测固件使用的强大端点安全产品，例如卡巴斯基网络安全解决方案。
定期更新UEFI固件，并且仅使用受信任的供应商提供的固件。
默认情况下启用安全启动，特别是BootGuard和TPM（如果可用的话）。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.