自2012年来针对Windows系统的UEFI Bootkit恶意程序曝光！

网络安全研究人员公布了一个新发现的UEFI（统一可扩展固件接口）Bootkit恶意程序工具包，该工具包早在 2012 年就被黑客用来通过修改合法的 Windows 引导管理器二进制文件，来在 Windows 系统中植入后门以实现持久控制，再次证明如何在加载操作系统之前的安全保护机制越来越重要。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，这个新恶意软件代号命名为“ESPecter”，因为它能够在 EFI 系统分区 ( ESP )上持续存在，此外还可以绕过 Microsoft Windows 驱动程序签名强制执行加载自己的未签名驱动程序，该驱动程序可用于促进间谍活动，例如通过定期捕获屏幕截图来记录盗窃、键盘记录和屏幕监控。目前，该恶意软件的入侵途径尚不得而知。

ESPecter 的根源至少可以追溯到 2012 年，它起源于具有传统 BIOS 的系统的引导套件，其作者不断添加对新 Windows 操作系统版本的支持，同时几乎不对恶意软件的模块进行任何更改。最大的变化出现在 2020 年，当时ESPecter 背后的黑客显然决定将他们的恶意软件从传统 BIOS 系统转移到现代 UEFI 系统。

这一发展标志着迄今为止第四次发现 UEFI 恶意软件的真实案例，继LoJax、MosaicRegressor和最近的FinFisher 之后，发现最后一个利用相同的妥协方法以以下形式在 ESP 上持久存在打补丁的 Windows 启动管理器。

安全研究人员称，通过修补 Windows 启动管理器，攻击者可以在系统启动过程的早期阶段，即操作系统完全加载之前实现执行。这允许 ESPecter 绕过 Windows 驱动程序签名强制 (DSE)，以便在系统启动时执行其自己的未签名驱动程序。

但是，在支持Legacy BIOS 引导模式的系统上，ESPecter 通过更改位于磁盘驱动器第一个物理扇区的主引导记录 ( MBR ) 代码来干扰引导管理器的加载并加载恶意内核驱动程序，从而获得持久性，它旨在加载额外的用户模式有效负载并设置键盘记录器，然后从机器上擦除自己的痕迹。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，无论使用哪种 MBR 或 UEFI 变体，驱动程序的部署都会导致将下一阶段的用户模式组件注入特定的系统进程，以与远程服务器建立通信，从而使攻击者能够征用受感染的机器并接管控制，更不用说下载和执行更多从服务器获取的恶意软件或命令。

尽管安全启动阻碍了从 ESP 执行不受信任的 UEFI 二进制文件，但在过去几年中，我们目睹了各种 UEFI 固件漏洞影响了数千个允许禁用或绕过安全启动的设备。这表明保护 UEFI 固件是一项具有挑战性的任务，而且各个供应商应用安全策略和使用 UEFI 服务的方式并不总是理想的。