您一定聽說(shuō)過(guò)惡意軟件的威力吧?它能夠在幾秒鐘內(nèi)破壞您的系統(tǒng),盜取或是鎖死您的大量敏感文件。我們常見的惡意軟件有許多種,其中最危險(xiǎn)的一類當(dāng)屬M(fèi)oonbounce。
那么Moonbounce惡意軟件究竟是什么?我們?cè)趺茨軌虮Wo(hù)自己以免受其傷害?如果已經(jīng)被感染,我們又該如何從系統(tǒng)中清除Moonbounce惡意軟件呢?下面,我將和您對(duì)這些問題展開深入探討。
什么是Moonbounce惡意軟件?
總的說(shuō)來(lái),Moonbounce惡意軟件是屬于特洛伊木馬病毒類別中的一種病毒。它是一種持久性的惡意軟件,就算磁盤驅(qū)動(dòng)器被格式化、操作系統(tǒng)被重新安裝,它仍舊可以存在。也就是說(shuō),Moonbounce惡意軟件很難被常規(guī)的防病毒軟件識(shí)別和刪除。其原因在于,一旦Moonbounce惡意軟件獲得了對(duì)于目標(biāo)設(shè)備的訪問權(quán)限,它就會(huì)避開殺毒軟件查找系統(tǒng)異常時(shí)的常規(guī)路徑,而遷移到別處。
Moonbounce惡意軟件的工作原理
Moonbounce惡意軟件是一種特殊而復(fù)雜的引導(dǎo)工具包,它主要攻擊的是目標(biāo)計(jì)算機(jī)的主板固件,也就是被稱為統(tǒng)一可擴(kuò)展固件接口(Unified Extensible Firmware Interface,UEFI)的部分。攻擊得手后,它對(duì)于計(jì)算機(jī)硬盤驅(qū)動(dòng)器或操作系統(tǒng)所做的任何更改,都會(huì)被留存下來(lái)。
常言道“請(qǐng)神容易送神難”。不請(qǐng)自來(lái)的Moonbounce一旦進(jìn)入了您的計(jì)算機(jī)系統(tǒng),不但難以被發(fā)現(xiàn),而且很難被清除。具體說(shuō)來(lái),Moonbounce在獲得訪問權(quán)限后,首先會(huì)釋放一組鉤子。這些鉤子會(huì)同時(shí)攔截設(shè)備的EFI引導(dǎo)服務(wù)表中多個(gè)函數(shù)的執(zhí)行情況。
然后,這些鉤子被用來(lái)轉(zhuǎn)移您的設(shè)備上各個(gè)函數(shù)調(diào)用的執(zhí)行,進(jìn)而讓惡意軟件看上去符合計(jì)算機(jī)的CORE_DXE組件。隨后,它們會(huì)創(chuàng)建一個(gè)額外的鉤子,以便惡意軟件可以在系統(tǒng)啟動(dòng)的時(shí)候,輕松地注入計(jì)算機(jī)系統(tǒng)。
下一個(gè)階段會(huì)出現(xiàn)在Windows設(shè)備完成引導(dǎo)之后。惡意軟件并不會(huì)滿足當(dāng)前持續(xù)、穩(wěn)定地訪問主機(jī)系統(tǒng)的狀態(tài)。它會(huì)通過(guò)部署新的惡意軟件,以進(jìn)一步感染您的其他設(shè)備。
在Moonbounce惡意軟件的穩(wěn)定運(yùn)行過(guò)程中,它還會(huì)將自身植入計(jì)算機(jī)主板的SPI接口的閃存中。其主要目的是,通過(guò)將惡意軟件部署和繁殖到已經(jīng)感染的設(shè)備上,以觸發(fā)各種后續(xù)的攻擊。
如何保護(hù)系統(tǒng)免受Moonbounce惡意軟件的侵害
為防止您的設(shè)備被Moonbounce惡意軟件感染或面臨類似的危險(xiǎn),您可以采取如下六個(gè)步驟:
1.安裝殺毒軟件
根據(jù)“祖訓(xùn)”,安裝防病毒軟件是保護(hù)系統(tǒng)免受威脅的最重要步驟之一。防病毒軟件會(huì)持續(xù)掃描您的計(jì)算機(jī),以識(shí)別和刪除任何已識(shí)別的惡意軟件。同時(shí),它還會(huì)通過(guò)執(zhí)行自動(dòng)化的更新,以更好地防御各種新發(fā)現(xiàn)的病毒和其他惡意軟件可能產(chǎn)生的威脅。
2.定期更新軟件
您需要優(yōu)先更新已安裝的各種軟件,其中包括:操作系統(tǒng)、瀏覽器和應(yīng)用程序等。軟件制造商往往會(huì)致力于通過(guò)持續(xù)的滲透測(cè)試,來(lái)消減在其應(yīng)用程序中發(fā)現(xiàn)到的已知漏洞。
3. 僅從可信的來(lái)源獲取應(yīng)用程序
請(qǐng)確保僅從信譽(yù)良好的來(lái)源處,購(gòu)買應(yīng)用程序和軟件產(chǎn)品。這將會(huì)使您的設(shè)備感染惡意軟件的可能性降至最低。
您可以通過(guò)檢查來(lái)源的有效性和信任度,來(lái)判斷應(yīng)用程序的安全性。例如:我們應(yīng)查看Google Play或Apple應(yīng)用商店內(nèi),應(yīng)用描述中所提供的程序全名、已發(fā)布的應(yīng)用列表、以及聯(lián)系信息。在允許應(yīng)用程序被列出和顯示之前,這兩家商店都會(huì)去評(píng)估應(yīng)用程序的整體安全態(tài)勢(shì)。當(dāng)然,有些時(shí)候某些高級(jí)的惡意程序或有漏洞的平臺(tái),也可能繞過(guò)此類檢查。不過(guò),這樣的“白名單”機(jī)制,已經(jīng)能夠?yàn)槲覀冞^(guò)濾掉絕大部分的惡意軟件了。
4. 不要點(diǎn)擊可疑的鏈接
如果您出于某種原因懷疑某個(gè)鏈接的話,那么請(qǐng)一定不要點(diǎn)擊它。如今,網(wǎng)絡(luò)犯罪分子最常用的方法便是,克隆出一個(gè)帶有有危害鏈接的網(wǎng)站。這些鏈接一旦被點(diǎn)擊,就可以訪問到您的個(gè)人詳細(xì)信息,甚至在您單擊鏈接的同時(shí),下載并傳播病毒。
近年來(lái),網(wǎng)絡(luò)犯罪分子最采用的攻擊方法之一便是網(wǎng)絡(luò)釣魚。這同樣也是黑客用來(lái)將惡意軟件傳播到目標(biāo)設(shè)備上的最常用方法。網(wǎng)絡(luò)釣魚的主要使命是,誘使您打開消息、或單擊看似來(lái)自可靠來(lái)源的鏈接。此外,網(wǎng)絡(luò)釣魚鏈接所重定向的網(wǎng)站,通常還會(huì)向您索取更多的個(gè)人信息。
5.定期備份數(shù)據(jù)
總的說(shuō)來(lái),備份數(shù)據(jù)有助于防止個(gè)人信息的意外丟失,并能夠減少由勒索軟件勒索造成的數(shù)據(jù)可用性的喪失。如果您平時(shí)能夠保持定期備份重要數(shù)據(jù)的良好習(xí)慣,那么就算發(fā)生諸如Moonbounce惡意軟件攻擊之類的不幸事件時(shí),您仍然可以通過(guò)備份,檢索到所有有價(jià)值的信息,并啟動(dòng)數(shù)據(jù)的恢復(fù)過(guò)程。
6. 教育你的團(tuán)隊(duì)
除了上述介紹的技術(shù)手段,我們還需要通過(guò)教育和培訓(xùn)之類的管理手段,讓相關(guān)人員運(yùn)用基本意識(shí)和知識(shí),識(shí)別各種惡意軟件和騙局。您可以向他們展示如何判斷待訪問的網(wǎng)站是否已經(jīng)過(guò)驗(yàn)證,以及當(dāng)他們發(fā)現(xiàn)自己已經(jīng)在瀏覽未經(jīng)驗(yàn)證的網(wǎng)站時(shí),應(yīng)該采取何種操作。歸根結(jié)底,整個(gè)團(tuán)隊(duì)了解的基本網(wǎng)絡(luò)攻擊特征和最佳實(shí)踐越多,企業(yè)和個(gè)人可能受到的惡意軟件攻擊的損失就越小。
如何應(yīng)對(duì)Moonbounce惡意軟件?
一旦您發(fā)現(xiàn)自己的系統(tǒng)中存在已激活的Moonbounce惡意軟件,那么它就很有可能已經(jīng)正在阻斷系統(tǒng)中各種文檔的正常訪問了。那么,我們?cè)撊绾螒?yīng)對(duì)Moonbounce惡意軟件的危害呢?
1.卸載流程
請(qǐng)?jiān)赪indows操作系統(tǒng)界面上,單擊“開始”按鈕,然后將鼠標(biāo)懸停在電源按鈕上方(但不要點(diǎn)擊),單擊“設(shè)置”,然后在列表中選擇、或是在上方的檢索區(qū)域內(nèi)查找“應(yīng)用程序和功能”。將出現(xiàn)的列表向下滾動(dòng),查找并定位Moonbounce或其他可疑的惡意軟件。最后右擊它們并選擇“卸載”。
2.刪除惡意擴(kuò)展
除了軟件本身,我們也需要?jiǎng)h除那些可能與Moonbounce惡意軟件相關(guān)的、針對(duì)瀏覽器的惡意擴(kuò)展。讓我們以Chrome瀏覽器為例,請(qǐng)?jiān)跒g覽器中單擊“自定義和控制Google Chrome”選項(xiàng)。在此,您可以找到與Moonbounce或其他惡意軟件相關(guān)的任何惡意擴(kuò)展,接著您便可以單擊垃圾桶圖標(biāo),將它們從系統(tǒng)中刪除掉。
完成后,您的系統(tǒng)中可能仍然存在著Moonbounce惡意軟件的痕跡。它們可以通過(guò)重新安裝的方式,在您的瀏覽器上死灰復(fù)燃。對(duì)此,我們需要借助其他安全查殺軟件,將其核心文件刪除干凈。
3.使用注冊(cè)表編輯器
您還可以使用Windows系統(tǒng)上的注冊(cè)表編輯器,刪除與惡意軟件相關(guān)的各種文件。為此,您可以同時(shí)按“Windows + R”,以啟動(dòng)“運(yùn)行”窗口。然后請(qǐng)輸入“Regedit”并單擊“確定”,以啟動(dòng)注冊(cè)表編輯器。當(dāng)然,您需要事先驗(yàn)證自己是否具有修改系統(tǒng)注冊(cè)表的權(quán)限。
在注冊(cè)表編輯器中,您可以依次選擇“編輯”->“查找”,然后輸入您想搜索的名稱關(guān)鍵字。如果出現(xiàn)多個(gè)相似名稱的條目的話,您可能需要多按幾次“下一個(gè)”。定位到您要查找的條目后,您可以在異常的惡意注冊(cè)表文件項(xiàng)上點(diǎn)擊右鍵,以刪除它。
4.重新檢查您的電腦
該階段的目標(biāo)應(yīng)該是消除所有惡意軟件復(fù)發(fā)的可能性。具體操作包括:在設(shè)備系統(tǒng)中,通過(guò)再次搜索,刪除任何剩余的Moonbounce非必需的組件。您同樣可以使用防病毒程序,來(lái)掃描自己的整個(gè)電腦。
5. 清除瀏覽器的劫持組件
有時(shí)候,狡猾的Moonbounce和其他惡意軟件可能會(huì)通過(guò)彈窗和屏幕通知的方式,誘使人們?cè)俅蜗螺d惡意軟件,進(jìn)而讓惡意網(wǎng)站劫持您的瀏覽器。為了避免此類情況的發(fā)生,您需要將Web瀏覽器重置為默認(rèn)設(shè)置,以消除可能被惡意軟件或剩余的廣告軟件劫持的情況。
小結(jié)
實(shí)際上,我們和攻擊者是在一個(gè)沒有硝煙的戰(zhàn)場(chǎng)上比拼著速度。一旦Moonbounce惡意軟件獲得了針對(duì)目標(biāo)主機(jī)系統(tǒng)的訪問權(quán)限,它就會(huì)在明里或暗里發(fā)起毀滅性的攻擊。因此,為了盡早地檢測(cè)到網(wǎng)絡(luò)和主機(jī)中的威脅,我們需要通過(guò)部署網(wǎng)絡(luò)安全措施,來(lái)積極、主動(dòng)地發(fā)現(xiàn)和修補(bǔ)漏洞,避免蒙受服務(wù)中斷和數(shù)據(jù)丟失等損失。
譯者介紹
陳峻 (Julian Chen),51CTO社區(qū)編輯,具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn),善于對(duì)內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控,專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn);持續(xù)以博文、專題和譯文等形式,分享前沿技術(shù)與新知;經(jīng)常以線上、線下等方式,開展信息安全類培訓(xùn)與授課。
原文標(biāo)題:??What Is Moonbounce Malware and How Does It Work???,作者:Chris Odogwu
