第三款UEFI恶意程序MoonBounce现身，格式化硬盘重装系统都拿它没辄

卡巴斯基（Kaspersky）上周揭露了自2018年以来、所出现的第三支UEFI Bootkit：MoonBounce，由于它寄生在UEFI固件中，因此就算重新格式化硬盘或重新安装作业系统可能都无法移除它，也透露出UEFI Bootkit可能会愈来愈流行。

UEFI的全名为统一可延伸固件接口（Unified Extensible Firmware Interface），是一个介于平台固件与操作系统之间的软件界面，它负责启动装置，再将控制权交给加载作业系统的软件，至于Bootkit指的是在系统启动之际就植入的恶意程序。因此，一旦UEFI被植入Bootkit，由于相关的程式码存放在硬盘之外的SPI闪存，而且是在加载操作系统之前就执行，使得它不仅很难侦测，就算重新安装操作系统或重新格式化硬盘，也都无法移除它。

资安社群是在2018年9月发现首支名为LoJax的UEFI Bootkit，当时使用它的是俄罗斯骇客集团APT28;第二支UEFI Bootkit是出现在2020年10月的MosaicRegressor，与中国黑客有关;卡巴斯基则相信MoonBounce是由中国黑客集团APT41所部署。

目前卡巴斯基只发现一个遭到MoonBounce攻击的对象，尚未确定它的感染途径，但分析显示，MoonBounce比它的前辈们更为先进与精细，有别于LoJax与MosaicRegressor都利用额外的DXE驱动程序，MoonBounce选择窜改既有的固件组件，把一个先前属于良性的核心元件变成恶意元件，藉由复杂的手法让恶意元件进入操作系统，以与远端的C&C服务器互动，并下载其它恶意酬载，亦未留下任何的感染足迹。

MoonBounce自C&C服务器所下载的恶意酬载，包括Sidewalk、Microcin与另一个以Golang撰写且尚未被命名的木马程序，以及用来窃取凭证或安全信息的Mimikat_ssp。

根据资安社群的分析，迄今UEFI Bootkit攻击多半是为了于受害组织中横向移动并窃取资料，再加上它的隐匿特性，猜测骇客的目的为持续性的间谍行动。

卡巴斯基建议组织应定期更新UEFI固件且只使用可靠来源的固件，于预设启用安全启动，以及部署端点防护产品。