圖片來源: 

Chris Barbalis on unsplash

安全廠商警告,超過200款技嘉主機板等產品因不安全實作出現類似後門程式運作功能,有被用於惡意下載程式到用戶電腦的風險。

安全廠商Eclypsium最近透過啟發式偵測法,在技嘉產品App Center功能偵測到疑似後門程式的行為。技嘉產品在用戶電腦的Windows啟動過程中,植入一個二進位程式,而後這個二進位程式以較不安全的HTTP連線,從技嘉伺服器下載其他程式。

要說明的是,研究人員並非指技嘉電腦產品用戶已經被植入惡意程式,而是指技嘉電腦軟體更新的這個過程可能被用以下載惡意程式。第一個過程中,下載的二進位檔.NET應用程式會由韌體寫入系統開機行程。這是UEFI嵌入程式和後門程式常見的手法,見於之前UEFI韌體嵌入程式如Sednit LoJax、MosiacRegressor、MoonBounce及Vector-EDK。

而在第二部分過程中,.NET應用程式以HTTP連線從技嘉數個網站的LiveUpdate路徑下載程式。研究人員指出,HTTP連線不應用於更新重要程式碼,因為可能被駭客以中間人攻擊(machine-in-the-middle,MITM),但即使是使用HTTPS連線,技嘉的遠端伺服器憑證的驗證也未能正確實作,也可能會發生MITM情形。另一方面,技嘉韌體也未實作數位簽章的驗證來驗證執行檔。雖然技嘉下載的執行檔或其他工具的確有技嘉加密簽章,滿足Windows的程式碼簽章要求,但並無法遏止像是離地攻擊(living-off-the-land)手法等惡意使用,因此駭客仍可利用MITM或入侵基礎架構途徑來感染受害者電腦。

研究人員並指出,藏匿於UEFI或其他韌體的惡意程式很難移除,而且即使後門程式執行檔移除,下次開機時韌體還是能再次下載。這在2015年及2018年被發現的聯想筆電的Superfish和Computrace LoJack就展現其難纏程度。

受到影響的技嘉產品如網站所示

研究人員建議使用技嘉系統或其主機板的用戶應掃瞄系統及韌體更新,偵測是否有疑似後門程式的工具,也建議用戶關閉技嘉系統UEFI/BIOS設定中的「App Center下載和安裝」功能,並為BIOS設定密碼防止變更。此外最好將以下網站加入封鎖名單:

http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4

https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4

https://software-nas/Swhttp/LiveUpdate4

熱門新聞

Advertisement