恶意程式设法关闭UEFI安全开机功能，并被用于间谍攻击

透过电脑开机的统一可延伸固件界面（UEFI）的攻击手法，最近几年被资安人员发现数个恶意软件，且攻击极为隐蔽而难以察觉、因应。例如，资安业者ESET于10月5日揭露新的恶意软件ESPecter，它借由EFI系统磁区（EFI System Partition，ESP），而能持续在受害电脑运作，让攻击者得以绕过Windows的驱动程式强制签章机制（DSE），进而载入未签章的驱动程式，以便进行其他攻击行动。

针对这样的攻击手法，研究人员呼吁，使用者要严加防范：电脑要使用最新版本的固件，并确定安全开机（Secure Boot）功能开启，再者，使用者也要留意特殊权限的管理，避免高权限账号遭到攻击者滥用。

疑似被说中文的骇客用于间谍攻击行动

研究人员对于这个恶意软件进行分析，他们在被植入ESPecter的受害电脑上，看到具有键盘侧录与窃取文件能力的元件，由此推断ESPecter主要被用于间谍攻击行动。根据他们的调查，ESPecter的攻击最早可追溯到2012年，而当时是以BIOS启动套件的方式执行，但这个恶意软件发展至今，已能植入UEFI固件的电脑。

究竟ESPecter背后的攻击者身份为何？ESET表示并不清楚，但根据用户端元件的讯息里含有简体中文，他们认为也许与使用中文的骇客有关。

究竟这样的工具会被如何？攻击者在受害电脑植入ESPecter之后，这个启动工具会窜改Windows启动管理器，而能在操作系统完全载入之前的早期启动阶段，执行没有签章的驱动程式，并绕过Windows驱动程式的强制签章要求。而这个没有签章的驱动程式，攻击者再以其他使用者模组的组件注入，并启动ESPecter和C2中继站服务器的连线，使得攻击者能掌控受害电脑，执行C2命令，或是下载、执行其他的恶意软件。

而受这种攻击手法影响的范围，包含执行Windows 7至Windows 10的电脑。其中，研究人员指出，当中窜改Windows启动器档案（bootmgfw.efi）的手法，必须关闭UEFI安全开机才能达成。但究竟攻击者如何关闭受害电脑的安全开机功能？研究人员表示并不清楚，但推断有可能攻击者实际接触到受害电脑，或者是利用UEFI漏洞而能够达成。

锁定UEFI固件出现新手法

过往针对UEFI固件攻击的恶意软件，主要是滥用SPI闪存，包含ESET在2018年揭露的LoJax，以及卡巴斯基于2019年发现的MosaicRegressor。

而这次他们发现的ESPecter，与卡巴斯基甫于今年9月底揭露的FinSpy（亦称为FinFisher），则是锁定EFI系统磁区下手。在此之前，这种攻击EFI系统磁区的手法，只有出现在概念性验证（PoC）的攻击程式，并未于实际的攻击行动出现。不过，ESET强调，ESPecter和FinSpy两者之间没有直接关连。