網路安全研究人員發現了一種罕見的潛在危險惡意軟體，針對計算機的UEFI韌體啟動過程以丟棄持久性惡意軟體。那麼如何防止UEFI韌體被黑客修改呢？

近日，該活動涉及使用包含惡意植入程式的受感染UEFI（或統一可擴充套件韌體介面），這使其成為第二個已知的公開案例，其中UEFI Rootkit已被廣泛使用。

根據卡巴斯基的說法，惡意UEFI韌體映像已被修改為包含幾個惡意模組，然後被用於將惡意軟體丟棄在受害計算機上的一系列針對性攻擊中，這些攻擊針對來自非洲，亞洲和歐洲的NGO成員。

UEFI是韌體介面，是BIOS的替代品，可提高安全性，確保沒有惡意軟體篡改引導過程。因為UEFI有助於載入作業系統本身，所以這種感染可以抵抗OS重新安裝或更換硬碟驅動器。

卡巴斯基說：“ UEFI韌體為持久的惡意軟體儲存提供了一種完美的機制。老練的黑客攻擊者可以修改韌體，以使其部署將在載入作業系統後執行的惡意程式碼。致使防毒軟體也無法查殺。”

這正是威脅因素似乎所做的。儘管在此階段仍不知道用於覆蓋原始韌體的確切感染媒介，但洩漏的手冊表明，該惡意軟體可能是通過對受害者機器的物理訪問來部署的。

新的UEFI惡意軟體是Hacking Team的VectorEDK載入程式的自定義版本，該載入程式於2015年洩露，此後已線上提供。它用於植入第二個有效負載，稱為MosaicRegressor“旨在間諜活動和資料收集的多階段模組化框架”，其中包含其他下載程式，以獲取並執行輔助元件。

下載者又聯絡命令和控制（C2）伺服器以獲取下一級DLL，以執行特定命令，這些命令的結果被匯出回C2伺服器或轉發到“反饋”郵件地址。攻擊者可以從中收集聚集的資料。

有效載荷以多種方式傳輸，包括通過來自硬編碼在惡意軟體二進位制檔案中的郵箱的電子郵件（“ mail.ru”）進行傳輸。

但是，在某些情況下，該惡意軟體是通過帶有網路釣魚郵件的電子郵件傳送給某些受害者的，這些電子郵件帶有嵌入式誘餌檔案（“ 0612.doc”），該誘餌檔案用俄語編寫，旨在討論與朝鮮有關的事件。

關於MosaicRegressor背後威脅者的身份，卡巴斯基表示，它發現了多個程式碼級提示，表明它們是用中文或韓文編寫的，程式碼中間出現EAST UNION，譯文為東方聯盟，劍指國內一家網路黑客安全組織，但這一訊息很快得到該公司的闢謠。通常情況下，UEFI韌體遭到破壞非常罕見，這通常是由於對韌體攻擊的可見性低，將其部署在目標的SPI快閃記憶體晶片上所需的高階措施以及在敏感工具集或資產燒燬時的高風險這樣做。（歡迎轉載分享）