恶意软件
UEFI 根套件
别称: UEFI 植入, EFI Bootkit
定义
植入 UEFI 固件中的 Rootkit,先于操作系统加载,能在磁盘擦除后继续存在,并绕过大多数端点安全产品。
UEFI 根套件寄生于统一可扩展固件接口(UEFI)——BIOS 的现代替代品中,通常位于 SPI 闪存模块或启动驱动中。它在操作系统之前运行,因此可以禁用安全机制、修改启动组件,并在系统重装后再次部署其他恶意软件。这类植入物通常由资源充足的威胁行为者部署,通过内核权限、物理访问或供应链入侵实现。常见防御措施包括强制启用 Secure Boot、签名的固件更新、基于 TPM 的可测量启动证明、厂商完整性工具(如 CHIPSEC)、Boot Guard、BIOS 写保护,以及对固件更新的供应链完整性管控。
示例
- LoJax,首个公开披露的真实环境中的 UEFI 根套件。
- 针对企业的 MoonBounce 和 BlackLotus UEFI Bootkit。
相关术语
BIOS 根套件
感染传统 BIOS 固件的 Rootkit,在操作系统启动前执行,实现位于操作系统下层的深度驻留。
固件恶意软件
驻留在设备固件(BIOS/UEFI、网卡、硬盘或外设)中的恶意代码,可以在重装操作系统和大多数端点防御之后继续存在。
Rootkit
一种隐蔽性极强的恶意软件,可在操作系统或设备上获得并隐藏特权访问权限,使常规工具难以检测。
引导级恶意软件(Bootkit)
感染 MBR、VBR 或 UEFI 等引导过程的恶意软件,可在操作系统之前加载并获取持久的特权控制。
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT) — definition coming soon.
供应链攻击
通过攻陷可信的第三方软件、硬件或服务提供商,进而入侵其下游客户的攻击方式。