9 月 13 日消息,ESET 昨晚發(fā)布公告���,稱其安全研究人員發(fā)現(xiàn)并命名了一種叫做 HybridPetya 的新型勒索軟件����。它能夠繞過微軟 UEFI 安全啟動(dòng)機(jī)制�,在 EFI 系統(tǒng)分區(qū)中安裝惡意應(yīng)用程序。gNF28資訊網(wǎng)——每日最新資訊28at.com
gNF28資訊網(wǎng)——每日最新資訊28at.com
據(jù)稱��,HybridPetya 源自 2016 年至 2017 年間爆發(fā)的 Petya 與 NotPetya 惡意軟件�。當(dāng)時(shí),這些攻擊通過加密系統(tǒng)阻止 Windows 啟動(dòng)��,但未提供恢復(fù)手段��。gNF28資訊網(wǎng)——每日最新資訊28at.com
ESET 研究人員在 VirusTotal 平臺(tái)上發(fā)現(xiàn)了 HybridPetya 的樣本�����,他們指出,這一發(fā)現(xiàn)可能僅是研究項(xiàng)目���、概念驗(yàn)證����,或是仍處于測試階段的早期攻擊工具��。gNF28資訊網(wǎng)——每日最新資訊28at.com
研究人員表示���,HybridPetya 的出現(xiàn)再次證明帶有安全啟動(dòng)繞過功能的 UEFI 引導(dǎo)工具包已成為現(xiàn)實(shí)威脅��,類似案例還包括 BlackLotus���、BootKitty 和 Hyper-V Backdoor。gNF28資訊網(wǎng)——每日最新資訊28at.com
與 Petya 相比,HybridPetya 增加了多項(xiàng)新特性:使其能夠安裝到 EFI 系統(tǒng)分區(qū)����,并通過利用漏洞 CVE-2024-7344 來繞過安全啟動(dòng)機(jī)制����。該漏洞由 ESET 于 2025 年 1 月披露����,問題源自微軟簽名的應(yīng)用程序����,可被惡意利用來部署引導(dǎo)工具包,即使目標(biāo)設(shè)備已啟用安全啟動(dòng)�����。gNF28資訊網(wǎng)——每日最新資訊28at.com
一旦運(yùn)行����,HybridPetya 會(huì)檢測主機(jī)是否使用 UEFI 與 GPT 分區(qū)��,并將多個(gè)文件寫入 EFI 系統(tǒng)分區(qū)�,包括配置與驗(yàn)證文件�����、修改后的引導(dǎo)加載程序�、備用加載程序��、利用代碼載體和加密進(jìn)度狀態(tài)文件�。ESET 在分析中列舉的文件包括:gNF28資訊網(wǎng)——每日最新資訊28at.com
/EFI/Microsoft/Boot/config(加密標(biāo)識(shí)��、密鑰、隨機(jī)數(shù)及受害者 ID)gNF28資訊網(wǎng)——每日最新資訊28at.com
/EFI/Microsoft/Boot/verify(用于驗(yàn)證解密密鑰正確性)gNF28資訊網(wǎng)——每日最新資訊28at.com
/EFI/Microsoft/Boot/counter(加密進(jìn)度追蹤)gNF28資訊網(wǎng)——每日最新資訊28at.com
/EFI/Microsoft/Boot/bootmgfw.efi.old(原始引導(dǎo)加載程序備份)gNF28資訊網(wǎng)——每日最新資訊28at.com
/EFI/Microsoft/Boot/cloak.dat(在繞過安全啟動(dòng)的變種中保存被混淆的 bootkit)gNF28資訊網(wǎng)——每日最新資訊28at.com
此外����,惡意軟件會(huì)用存在漏洞的“reloader.efi”替換 /EFI/Microsoft/Boot/bootmgfw.efi��,并刪除 /EFI/Boot/bootx64.efi����。原始 Windows 引導(dǎo)加載程序會(huì)被保存���,以便在受害者支付贖金后恢復(fù)系統(tǒng)。gNF28資訊網(wǎng)——每日最新資訊28at.com
感染后��,HybridPetya 會(huì)觸發(fā)藍(lán)屏死機(jī)(BSOD)��,顯示虛假報(bào)錯(cuò)并強(qiáng)制重啟。重啟后�����,惡意引導(dǎo)工具包即可加載�����,隨后利用 Salsa20 加密算法加密所有 MFT 簇���,并顯示偽造的 CHKDSK 界面����。加密完成后,系統(tǒng)再次重啟,并在啟動(dòng)時(shí)顯示勒索信。gNF28資訊網(wǎng)——每日最新資訊28at.com
gNF28資訊網(wǎng)——每日最新資訊28at.com
勒索信息要求受害者支付 1000 美元(注:現(xiàn)匯率約合 7124 元人民幣)比特幣贖金。支付后����,受害者可獲得一個(gè) 32 字符的密鑰,用于解密數(shù)據(jù)并恢復(fù)原始引導(dǎo)加載程序�����。gNF28資訊網(wǎng)——每日最新資訊28at.com
目前尚未發(fā)現(xiàn) HybridPetya 在真實(shí)攻擊場景中的使用,但 ESET 提醒����,類似的概念驗(yàn)證項(xiàng)目可能會(huì)被武器化�,并在未來大規(guī)模攻擊中針對(duì)未修補(bǔ)的 Windows 系統(tǒng)���。相關(guān)威脅的妥協(xié)指標(biāo)已在 GitHub 公開���。gNF28資訊網(wǎng)——每日最新資訊28at.com
值得一提的是,微軟已在 2025 年 1 月的補(bǔ)丁星期二修復(fù)了 CVE-2024-7344 漏洞,安裝該更新或更高版本安全補(bǔ)丁的 Windows 系統(tǒng)可免受 HybridPetya 攻擊��。gNF28資訊網(wǎng)——每日最新資訊28at.com
本文鏈接:http://www.yifxia.cn/showinfo-119-181702-0.html微軟漏洞遭利用�����,新型 HybridPetya 勒索軟件可繞過 UEFI 安全啟動(dòng)機(jī)制
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識(shí)�,若有侵權(quán)等問題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系��,我們將在第一時(shí)間刪除處理���。郵件:2376512515@qq.com
上一篇: 微軟 Visual Studio 2026 推薦 64GB 內(nèi)存和 16 核 CPU 引熱議�,架構(gòu)師解釋稱方便程序員申請(qǐng)更好的電腦
下一篇: 微軟 Win11 預(yù)覽版 26x20.6682 擴(kuò)展 Xbox 手柄交互:長按進(jìn)入任務(wù)視圖
津公網(wǎng)安備 12010102000574號(hào)