操作系统重新安装后幸存的恶意软件 疑是中国黑客释放出

中国黑客可能正在使用可以在Windows OS重新安装后幸存下来以监视计算机的恶意软件。

安全公司卡巴斯基实验室(Kaspersky Lab)发现了该恶意软件，该恶意软件利用计算机的UEFI(统一可扩展固件接口)来持续存在于Windows计算机上。

攻击UEFI非常令人震惊，因为该软件用于启动计算机并加载操作系统。它还与计算机的主硬盘分开运行，通常作为固件驻留在主板的SPI闪存中。结果，UEFI中嵌入的任何恶意进程都可以在逃避传统防病毒解决方案的情况下在重新安装操作系统后幸免。

卡巴斯基实验室研究员马克·莱希蒂克(Mark Lechtik)在一份声明中说：“这种攻击表明，在极少数情况下，尽管极少数情况下，演员们愿意竭尽所能，以获得对受害者机器的最高持久性。”

该公司在属于两个受害者的计算机上发现了基于UEFI的恶意软件。它可以在启动文件夹中创建一个名为“ IntelUpdate.exe”的特洛伊木马文件，即使用户找到并删除了该木马文件，该文件也会重新安装。

卡巴斯基实验室说：“由于此逻辑是从SPI闪存执行的，因此除了消除恶意固件外，没有其他方法可以避免此过程。”

该恶意软件的目标是在受害者的计算机上提供其他黑客工具，包括文档窃取程序，该工具将在从“最近文档”目录中提取文件之前将其上传到黑客的命令和控制服务器。

卡巴斯基实验室没有指定受害者的名字，但是说，罪魁祸首一直在追捕属于“非洲，亚洲和欧洲的外交实体和非政府组织”的计算机。所有受害者都通过非营利活动或在朝鲜的实际存在与朝鲜有某种联系。

卡巴斯基实验室(Kaspersky Lab)在查看恶意软件的计算机代码时，还注意到该过程可以到达以前与中国政府资助的可疑黑客组织Winnti相关的命令和控制服务器。此外，这家安全公司还发现，该恶意软件背后的创建者在对代码进行编程时使用了中文。

尽管如此，卡巴斯基实验室仍未召集特定的团体进行攻击。卡巴斯基实验室补充说：“由于这是我们的发现与使用Winnti后门的所有小组之间的唯一联系，因此我们不太有把握地估计确实是袭击的原因。”

尚不清楚如何分发基于UEFI的恶意软件，以及哪些PC模型容易受到攻击。卡巴斯基实验室(Kaspersky Labs)指出，操作UEFI非常困难，因为它需要了解机器的固件以及利用板载SPI闪存芯片的方法。

但是，安全公司注意到，基于UEFI的恶意软件是在意大利监控公司Hacking Team泄露的文档的帮助下创建的。2015年，该公司的文件被盗并在线上被转储，这表明Hacking Team还在研究基于UEFI的攻击，该攻击能够通过USB拇指驱动器感染Asus X550C和Dell Latitude E6320型号。

卡巴斯基实验室补充说：“当然，我们不能排除通过恶意更新机制远程推送恶意固件的其他可能性。” “这种情况通常需要利用BIOS更新身份验证过程中的漏洞。虽然可能是这种情况，但我们没有任何证据支持。”

卡巴斯基实验室表示，要删除该恶意软件，受害者需要将主板的固件更新为合法版本。

这是安全研究人员第二次发现旨在利用UEFI的恶意软件。2018年，反病毒供应商ESET报告了一个单独的基于UEFI的恶意软件实例，名为Lojax，该实例可能来自俄罗斯政府资助的黑客。

就卡巴斯基实验室而言，该公司发现了基于UEFI的恶意软件，这要归功于该公司的固件扫描仪，该扫描仪已于去年开始实施。恶意软件背后的神秘元凶也被发现利用网络钓鱼电子邮件掠夺受害者。但是，没有发现任何网络钓鱼电子邮件传递基于UEFI的攻击。