僵尸网络病毒TrickBot不仅卷土重来还变得更加难缠！研究人员发现骇客开始针对UEFI固件漏洞下手

被许多骇客组织滥用的僵尸网络TrickBot，今年10月上旬，才被微软联手多家资安业者与电信业者，宣称阻断其关键基础设施，但该僵尸网络背后的攻击者不久就卷土重来，而且手法还深入到UEFI与BIOS固件的层次。

针对TrickBot的近期动态，在12月3日有2家资安公司联手揭露新的僵尸网络病毒功能模组“TrickBoot”，相较于过往的TrickBot家族，新的模组会侦测攻击目标电脑的UEFI固件是否存在弱点，一旦找到可以滥用的漏洞，骇客就能从开机固件层面来埋伏在受害电脑。

揭露此事的资安公司，分别是专精威胁情报的Advanced Intelligence（AdvIntel），以及提供装置固件安全的Eclypsium。前者曾于去年5月，一口气揭露3家防毒大厂程式码遭骇的事件；而后者找出不少固件层级的漏洞，例如，去年揭露8个厂牌服务器BMC固件存在漏洞，以及今年发布有关Grub2开机软件的BootHole漏洞细节等。而这次对于TrickBoot的研究，AdvIntel与Eclypsium都在自己的部落格公布有关细节。

这2家资安公司会联手的原因，是AdvIntel在TrickBot基础设施遭到摧毁不久，发现了新的攻击行动，而且攻击相当频繁，相关恶意软件曾创下最高1天感染4万台设备的记录，而且，他们还发现新的TrickBot变种恶意软件，与该家族的病毒有所不同的是，它似乎针对受害电脑的固件而来。

根据Advanced Intelligence侦测到10月初到11月下旬受到TrickBot感染的电脑数量，单日最多有近4万台电脑遭到感染，而在时间点的部分，疑似正好就发生在微软宣布切断TrickBot基础架构运作的10月12日之后。

TrickBot攻击的范围几乎可说是全球各地，而其中较为严重的地区，包含了美国华盛顿、阿拉伯联合酋长国，以及希腊等。

对于这个不寻常的TrickBot变种病毒，AdvIntel寻求专门提供装置固件防护的Eclypsium，来共同分析所发现的恶意软件。结果发现，这次TrickBot恶意软件所出现的新模组，会侦测受害电脑采用的中央处理器型号，然后比对是否存在可被滥用的漏洞，以便攻击者对于电脑的UEFI或BIOS固件下手，读取、写入，或者是清除。这2家公司将这个模组命名为“TrickBoot”。

AdvIntel和Eclypsium指出，TrickBoot能够侦察的范围，涵盖几乎所有自2014年以来采用Intel处理器的电脑，并且检查其UEFI或BIOS固件，是否存在可被攻击的弱点。同时，该恶意程式模组也会侦测SPI闪存的BIOS写入防护机制状态。

严格来说，TrickBoot并不具备直接窜改电脑固件的功能。但为何这样的模组引起这2家资安公司的重视？主要原因是骇客企图从电脑固件下手，而这样的攻击难以被发现及防范，即使受害者想要清除骇客的工具，仅有更新电脑主板的SPI闪存一途，而无法借由重新安装操作系统的方式处理。

另一个原因，则是这个TrickBot模组已有读写UEFI固件的能力，甚至能够执行抹除固件的工作，这样的特性是AdvIntel和Eclypsium从TrickBoot的程式码解析而来。在此之前，被发现具备这种能力的恶意软件并不多，仅有ESET于2018年发现的LoJax，以及今年10月被卡巴斯基揭露的MosaicRegressor。因此他们认为，TrickBoot的出现，影响的层面会相关广，不只造成企业重大风险，很可能还会波及国家安全。