rootkit是一种特别恶劣的恶意软件。当您进入操作系统时，会加载“常规”恶意软件感染。这仍然是一个糟糕的情况，但一个像样的杀毒软件应该删除恶意软件和清理你的系统。

相反，rootkit会安装到系统固件中，并允许在每次重新启动系统时安装恶意负载。

安全研究人员在野外发现了一种新的rootkit变体，名为LoJax。是什么让这个rootkit与众不同？嗯，它可以感染现代的基于UEFI的系统，而不是老式的基于BIOS的系统。这是个问题。

lojax uefi rootkit

ESET研究发表了一篇研究论文，详细介绍了LoJax，一个新发现的rootkit（什么是rootkit？）成功地重新使用同名的商业软件。（尽管研究小组将恶意软件命名为“LoJax”，但真正的软件却被命名为“LoJack”。）

更大的威胁是，LoJax可以在完整的Windows重新安装甚至更换硬盘驱动器后幸存下来。

恶意软件通过攻击UEFI固件引导系统生存。其他rootkit可能隐藏在驱动程序或引导扇区中，这取决于它们的编码和攻击者的意图。LoJax钩住系统固件并在操作系统加载之前重新感染系统。

到目前为止，唯一已知的完全删除LoJax恶意软件的方法是在可疑系统上刷新新固件。固件闪存并不是大多数用户都有过的体验。虽然比过去容易，但仍然有一个重要的问题，那就是刷新固件会出错，有可能会阻塞正在讨论的机器。

lojax rootkit是如何工作的？

LoJax使用了Absolute Software的LoJack防盗软件的重新打包版本。原始工具意味着在整个系统擦除或硬盘更换过程中都是持久的，因此被许可方可以跟踪被盗设备。该工具深入电脑的原因是相当合理的，而LoJack仍然是一个流行的防盗产品，这些确切的质量。

鉴于在美国，97%的被盗笔记本电脑从未被追回，因此用户希望获得额外的保护以获得如此昂贵的投资是可以理解的。

LoJax使用内核驱动程序，RwDrv.sys，以访问BIOS/UEFI设置。内核驱动程序与RWEvery捆绑在一起，这是一个合法的工具，用于读取和分析低级计算机设置（通常您无法访问的位）。LoJax rootkit感染过程中还有三种其他工具：

• 第一个工具将有关低级系统设置的信息（从rweething复制）转储到文本文件中。绕过针对恶意固件更新的系统保护需要了解系统。
• 第二个工具“通过读取SPI闪存的内容将系统固件的映像保存到文件中。”SPI闪存承载UEFI/BIOS。
• 第三个工具将恶意模块添加到固件映像，然后将其写回SPI闪存。

如果LoJax意识到SPI闪存受到保护，它会利用已知的漏洞（CVE-2014-8273）访问它，然后继续并将rootkit写入内存。

lojax是从哪里来的？

ESET研究小组认为，LoJax是臭名昭著的Fancy Bear/Sednit/Strontium/APT28俄罗斯黑客组织的作品。这个黑客组织对近年来的几起重大攻击负有责任。

LoJax使用与SedUploader相同的命令和控制服务器——另一个Sednit后门恶意软件。LoJax还拥有其他Sednit恶意软件的链接和跟踪，包括XAgent（另一个后门工具）和Xiannel（一个安全的****工具）。

此外，ESET的研究发现，恶意软件运营商“利用LoJax恶意软件的不同组件，将目标锁定在巴尔干半岛以及中欧和东欧的一些**组织。”

lojax不是第一个uefi rootkit

洛贾克斯的消息无疑引起了安全界的关注。然而，它并不是第一个UEFI rootkit。黑客团队（一个恶意组织，以防万一）早在2015年就在使用UEFI/BIOS rootkit在目标系统上安装远程控制系统代理。

黑客团队UEFI rootkit和LoJax的主要区别是交付方法。当时，安全研究人员认为黑客团队需要物理访问系统来安装固件级的感染。当然，如果有人直接访问你的电脑，他们可以做他们想要的事情。不过，UEFI rootkit还是特别讨厌。

您的系统是否面临来自lojax的风险？

现代的基于UEFI的系统与旧的基于BIOS的系统相比有几个明显的优势。

首先，它们比较新。新的硬件并不是最终的目标，但它确实使许多计算任务变得更容易。

其次，UEFI固件也有一些附加的安全特性。特别值得注意的是安全引导，它只允许带有签名数字签名的程序运行。

如果关闭此选项，并且遇到rootkit，您将度过一段不愉快的时光。在当前勒索软件时代，安全引导也是一个特别有用的工具。请查看以下有关Secure Boot处理极其危险的NotPetya勒索软件的视频：

如果关闭安全引导，NotPetya会加密目标系统上的所有内容。

LoJax是一种完全不同的野兽。与以前的报告相反，即使是安全引导也不能停止LoJax。保持UEFI固件的最新是非常重要的。还有一些专门的反rootkit工具，但是不清楚它们是否能够保护自己免受LoJax的攻击。

但是，与许多具有此级别功能的威胁一样，您的计算机也是主要目标。高级恶意软件主要集中在高级目标上。此外，LoJax有民族国家威胁行为者参与的迹象；另一个很有可能LoJax短期内不会影响你。也就是说，恶意软件有一种方式可以过滤到这个世界上。如果网络犯罪分子发现了LoJax的成功使用，它可能会在常规的恶意软件攻击中变得更加常见。

和以往一样，让系统保持最新是保护系统的最佳方法之一。Malwarebytes高级订阅也是一个很大的帮助。