殭屍網路病毒TrickBot不僅捲土重來還變得更加難纏！研究人員發現駭客開始針對UEFI韌
體漏洞下手
https://www.ithome.com.tw/news/141610
被許多駭客組織濫用的殭屍網路TrickBot，今年10月上旬，才被微軟聯手多家資安業者與
電信業者，宣稱阻斷其關鍵基礎設施，但該殭屍網路背後的攻擊者不久就捲土重來，而且
手法還深入到UEFI與BIOS韌體的層次。
針對TrickBot的近期動態，在12月3日有2家資安公司聯手揭露新的殭屍網路病毒功能模組
「TrickBoot」，相較於過往的TrickBot家族，新的模組會偵測攻擊目標電腦的UEFI韌體
是否存在弱點，一旦找到可以濫用的漏洞，駭客就能從開機韌體層面來埋伏在受害電腦。
揭露此事的資安公司，分別是專精威脅情報的Advanced Intelligence（AdvIntel），以
及提供裝置韌體安全的Eclypsium。前者曾於去年5月，一口氣揭露3家防毒大廠程式碼遭
駭的事件；而後者找出不少韌體層級的漏洞，例如，去年揭露8個廠牌伺服器BMC韌體存在
漏洞，以及今年發布有關Grub2開機軟體的BootHole漏洞細節等。而這次對於TrickBoot的
研究，AdvIntel與Eclypsium都在自己的部落格公布有關細節。
這2家資安公司會聯手的原因，是AdvIntel在TrickBot基礎設施遭到摧毀不久，發現了新
的攻擊行動，而且攻擊相當頻繁，相關惡意軟體曾創下最高1天感染4萬臺設備的記錄，而
且，他們還發現新的TrickBot變種惡意軟體，與該家族的病毒有所不同的是，它似乎針對
受害電腦的韌體而來。
根據Advanced Intelligence偵測到10月初到11月下旬受到TrickBot感染的電腦數量，單
日最多有近4萬臺電腦遭到感染，而在時間點的部分，疑似正好就發生在微軟宣布切斷
TrickBot基礎架構運作的10月12日之後。
TrickBot攻擊的範圍幾乎可說是全球各地，而其中較為嚴重的地區，包含了美國華盛頓、
阿拉伯聯合大公國，以及希臘等。
對於這個不尋常的TrickBot變種病毒，AdvIntel尋求專門提供裝置韌體防護的Eclypsium
，來共同分析所發現的惡意軟體。結果發現，這次TrickBot惡意軟體所出現的新模組，會
偵測受害電腦採用的中央處理器型號，然後比對是否存在可被濫用的漏洞，以便攻擊者對
於電腦的UEFI或BIOS韌體下手，讀取、寫入，或者是清除。這2家公司將這個模組命名為
「TrickBoot」。
AdvIntel和Eclypsium指出，TrickBoot能夠偵察的範圍，涵蓋幾乎所有自2014年以來採用
Intel處理器的電腦，並且檢查其UEFI或BIOS韌體，是否存在可被攻擊的弱點。同時，該
惡意程式模組也會偵測SPI快閃記憶體的BIOS寫入防護機制狀態。
嚴格來說，TrickBoot並不具備直接竄改電腦韌體的功能。但為何這樣的模組引起這2家資
安公司的重視？主要原因是駭客企圖從電腦韌體下手，而這樣的攻擊難以被發現及防範，
即使受害者想要清除駭客的工具，僅有更新電腦主機板的SPI快閃記憶體一途，而無法藉
由重新安裝作業系統的方式處理。
另一個原因，則是這個TrickBot模組已有讀寫UEFI韌體的能力，甚至能夠執行抹除韌體的
工作，這樣的特性是AdvIntel和Eclypsium從TrickBoot的程式碼解析而來。在此之前，被
發現具備這種能力的惡意軟體並不多，僅有ESET於2018年發現的LoJax，以及今年10月被
卡巴斯基揭露的MosaicRegressor。因此他們認為，TrickBoot的出現，影響的層面會相關
廣，不只造成企業重大風險，很可能還會波及國家安全。
========
快升級！