近期发现的名为HybridPetya的勒索软件变种能够绕过UEFI安全启动功能,在EFI系统分区安装恶意应用程序。
HybridPetya的设计灵感似乎源自具有破坏性的Petya/NotPetya恶意软件——后者曾在2016年和2017年的攻击中加密计算机并阻止Windows启动,且未提供恢复选项。
网络安全公司ESET的研究人员在VirusTotal上发现了HybridPetya样本,指出其可能是一个研究项目、概念验证,或是仍在有限测试阶段的网络犯罪工具早期版本。尽管如此,ESET表示,该样本的出现与BlackLotus、BootKitty、Hyper-V Backdoor等案例一样,证明具备安全启动绕过功能的UEFI bootkit是真实存在的威胁。
HybridPetya融合了Petya和NotPetya的特征,包括这些早期恶意软件的视觉风格和攻击链。然而,开发者增加了新功能,例如安装至EFI系统分区,以及通过利用CVE-2024-7344漏洞实现绕过安全启动的能力。ESET于今年1月发现该漏洞,其问题在于微软签名的应用程序可能被滥用于部署bootkit,即使目标设备已启用安全启动保护。
启动后,HybridPetya会检测主机是否使用UEFI与GPT分区,并向EFI系统分区投放包含多个文件的恶意bootkit。这些文件包括配置与验证文件、修改后的引导加载程序、备用UEFI引导加载程序、漏洞利用载荷载体,以及跟踪加密进度的状态文件。
ESET列出了所分析的HybridPetya变种中使用的文件:
- \EFI\Microsoft\Boot\config(加密标识+密钥+随机数+受害者ID)
- \EFI\Microsoft\Boot\verify(用于验证解密密钥正确性)
- \EFI\Microsoft\Boot\counter(加密簇进度追踪器)
- \EFI\Microsoft\Boot\bootmgfw.efi.old (原始引导加载程序备份)
- \EFI\Microsoft\Boot\cloak.dat (在绕过安全启动的变种中保存XOR混淆的bootkit)
此外,恶意软件会用存在漏洞的“reloader.efi ”替换\EFI\Microsoft\Boot\bootmgfw.efi ,并删除\EFI\Boot\bootx64.efi 。原始Windows引导加载程序会被保存,以便在受害者支付赎金后恢复系统时激活。
部署完成后,HybridPetya会像早期Petya一样触发蓝屏死机(BSOD) 并显示虚假错误,强制系统重启,使恶意bootkit在启动时执行。此时,勒索软件会利用从config文件中提取的Salsa20密钥和随机数加密所有MFT簇,同时显示类似NotPetya的伪造CHKDSK界面。加密完成后,系统再次重启,启动时显示勒索信,要求支付1000美元比特币赎金。作为交换,受害者会获得一个32字符密钥,可在勒索信界面输入以恢复原始引导加载程序、解密簇并提示重启。
尽管目前尚未发现HybridPetya在真实攻击中使用,但类似的概念验证项目可能随时被武器化,针对未打补丁的Windows系统发起大规模攻击。相关入侵指标已在GitHub仓库发布,供防御使用。微软已在2025年1月的“补丁星期二”中修复CVE-2024-7344漏洞,安装该更新或更高版本安全补丁的Windows系统可免受HybridPetya攻击。防范勒索软件的另一有效措施是对重要数据进行离线备份,以便自由且轻松地恢复系统。
发表评论
您还未登录,请先登录。
登录