重装系统也没用——LoJax“恶意满满”

当用户的计算机遇到无法解决的病毒感染时，最简单、同时也是最无奈的办法就是彻底重装系统，把所有内容数据都删的一干二净，与病毒软件“同归于尽”。

然而，最近 络安全公司ESET发现了一款强到“变态”的UEFI Rootkit恶意软件，即“LoJax”——即使在重新安装操作系统和更换硬盘驱动器之后也能持续存在。UEFIRootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和 络链接等信息，通常与木马、后门等其他恶意程序结合使用。

ESET同时表示，俄罗斯黑客组织FancyBear（又称Sofacy、APT28、Sednit等）是其幕后操纵者。LoJax，也是目前为止第一个在野外发现的UEFI Rootkit恶意软件。虽然安全专家过去曾谈到过这些问题，但仍有几个政府机构在（秘密地）使用它，这是第一次在公开场合发现恶意软件。

重新安装操作系统或更换硬盘驱动器后，为什么不能删除LoJax？

这是第一个需要思考的问题，答案其实很简单，LoJax并不没有安装在硬盘驱动器上。当计算机启动时，首先启动的是BIOS（基本输入输出系统）。最新类型的BIOS被称为UEFI（统一可扩展固件接口），它支持几乎所有最新的操作系统，从Windows 8开始。其旧版本现在称为Legacy BIOS。

计算机的BIOS位于主板上，对于典型用户来说很难访问。LoJax通过入侵UEFI并安装其rootkit，因此无论在受LoJax感染的系统上重新安装操作系统或更换硬盘驱动器多少次，都无法将其删除。原因在于这些操作都不能彻底删除计算机上的UEFI BIOS。

LoJax如何感染计算机？

ESET在LoJax感染的计算机上发现了三个能够修改UEFI / BIOS设置的工具，它们都使用了内核驱动程序RwDrv.sys.RwDrv.sys与RWEverything捆绑在一起，这是一个可以免费下载和使用的软件。它能够访问计算机中的所有组件，不仅仅是BIOS。由于这是一个合法的软件并经过数字签名，因此Windows系统不会怀疑它的安全性。

经数字签名的RWEverything

RWEverything GUI可访问所有组件信息

现在，我们来了解一下实际完成感染任务的这三个工具：

1.信息倾弃工具（Informationdumping tool）

2.系统固件映像创建（SystemFirmware Image Creation）

第二个工具生成UEFI /BIOS所在的SPI闪存的映像，然后将此映像再次保存到文件中。

3.Rootkit安装工具（RootkitInstallation Tool）

第三个工具修改此前保存的固件映像以添加实际的rootkit。这样，固件映像就已被感染。然后将此受感染的固件映像安装到SPI闪存中。也就是说，BIOS现在已经感染了LoJax恶意软件。

需要注意的是，所有这些步骤都在Windows系统中进行的。LoJax不必实际进入用户的BIOS才能感染它。具有讽刺意味的是，感染行为借助的是Windows系统，但Windows系统的重新安装却对Lojax束手无策。

LoJax能做什么？

如果BIOS中存在恶意软件，它会给用户带来哪些危害？ESET的研究表明，该恶意软件背后的APT小组用它来攻击巴尔干半岛地区、中欧和东欧的一些政府组织。

然而我们现在仍然不知道这个恶意软件实际上有什么攻击能力。但是ESET发现了LoJax商附带的SedUploader侦察软件，它经常被俄罗斯黑客组织Fancy Bear使用。有了SedUploader，LoJax可以轻松地让攻击者访问用户的个人文件。

LoJax从LoJack演变而来

Absolute Software是一家从事软件交易的合法公司，他们曾开发名为LoJack的软件（早期名为CompuTrace）。顾名思义，LoJack是一种防盗软件，可以在发生信息盗窃时向用户发送位置信息。该软件与现在的LoJax很类似，它们都安装在闪存上。但LoJack开发者最初考虑的是信息窃贼即使安装操作系统不会删除软件，因此无法隐匿其行踪。在我们看来，这完全有道理并且是合法的，只是这种技术现在被犯罪分子们恶意利用了。

2018年5月， 络安全服务提供商ArborNetworks 道Sednit黑客组织（又名Fancy Bear）利用了LoJack（捆绑了SedUploader）的rpcnetp.exe。该黑客组织能够修改该软件中的文件以便与他们的服务器通信。这就是新恶意软件被命名为LoJax的原因。

SedUploader配置文件信息：左边合法，右边非法

如何删除或预防LoJax？

在 络安全领域，预防胜于治疗。大多数防病毒软件无法检测到LoJax，即使被检测到，也无法将其删除。以下是删除或预防LoJax的几点建议：

1.启用“安全启动”选项

安全启动是BIOS中默认启用的选项，启用它将确保在完成引导之前，对固件(UEFI)的每个组件进行验证和扫描。ESET表示，虽然LoJax有数字签名的组件，但安全启动扫描将确保阻止LoJax运行。人们通常会关闭安全启动功能以安装一些操作系统和软件，或出于某些测试目的。如果您已禁用了安全启动功能，那么现在最好重新启用它。

2.启用映像写入保护

某些主板制造商的BIOS中包含这一选项，确保启用此功能。这样一来，Windows等操作系统不会向BIOS安装不必要的软件。理论上，在启用了映像写入保护功能的情况下，RwDrv.sys无法将受感染的映像写入闪存。

3.更新BIOS

制造商和OEM（原始设备制造商）会提供及时的BIOS更新。在制造商的官方 站上，用户可以定期检查是否有BIOS更新，这将确保修补BIOS中的任何漏洞。ESET还指出，保护用户免受LoJax攻击很大程度上得靠主板制造商，他们必须提供更新来阻止恶意软件。

4.清除闪存BIOS

清洁闪存中的BIOS部分并重新刷新固件可以有效删除恶意软件，但对于普通用户来说还是有些难度的。这通常需要第三方软件，而且如果运用不当，可能会造成很多损害。

5.更换主板

这是在其他办法都不奏效的情况下极端的做法，但更换主板的确可以删除恶意软件。

6.防病毒或安全软件

我们建议在用户个人计算机上至少安装一个防病毒软件或Total Security软件。安装这些软件并不能保证免疫LoJax，但在大多数情况下，当我们从某些“特别的” 站（甚至是合法的 站）下载文件时，病毒会感染计算机。使用防病毒软件，您将收到警告，也许其中某个病毒就捆绑了LoJax呢？