2025 年 7 月下旬,一系列勒索软件样本出现在 VirusTotal 上,其文件名引用了臭名昭著的 Petya 和 NotPetya 攻击。
与其前身不同,这种被 ESET 分析师称为 HybridPetya 的新威胁表现出超越传统用户区域执行的功能,直接针对易受攻击系统上的 UEFI 固件。
通过特制的存档和 CVE-2024-7344 的利用,HybridPetya 在过时的平台上实现了安全启动绕过,使其能够将恶意 EFI 应用程序安装到 EFI 系统分区中。cloak.dat
HybridPetya 的出现标志着 bootkit 设计的重大演变。该恶意软件利用双组件架构:基于 Windows 的安装程序和 EFI 引导套件。
部署后,安装程序会找到 EFI 系统分区,备份合法的引导加载程序,删除 Salsa20 加密的配置文件 (),并植入加密验证阵列 ()。\EFI\Microsoft\Boot\config\EFI\Microsoft\Boot\verify
然后,触发的 BSOD 强制系统通过受感染的引导加载程序重新加载,从而在下次启动时激活 EFI 组件。
ESET 研究人员发现 HybridPetya 同时支持遗留系统和 UEFI 系统;然而,它真正的创新在于通过 CVE-2024-7344 漏洞绕过 UEFI 安全启动。
在缺乏 Microsoft 2025 年 1 月更新的受影响系统中,恶意应用程序伪装成受信任的 Microsoft 签名的二进制文件。dbxreloader.efi
执行时,它将随附的文件视为合法有效负载,加载和执行 XOR 混淆的 EFI bootkit,而无需签名验证。cloak.dat
该技术反映了 ESET 在早期咨询报告中详细介绍的利用方法,尽管在勒索软件框架内被武器化。
一旦 EFI bootkit 在作系统前阶段获得控制权,它就会读取其配置和加密标志。
如果标志设置为“准备加密”,则 bootkit 将提取 Salsa20 密钥和随机数,重写配置标志,并在所有检测到的分区上加密 NTFS 主文件表 (MFT) 。
在此过程中,会向受害者显示一条类似 CHKDSK 的欺骗性进度消息,掩盖恶意活动。
加密完成后,系统重新启动,显示 NotPetya 风格的勒索字条。
感染机制和持久性
HybridPetya 的感染机制取决于其 Windows 安装程序和 UEFI bootkit 之间的相互作用。
安装程序首先调用本机 API 来诱导关闭,确保恶意引导加载程序将在重新启动时执行:-NtRaiseHardError
NtRaiseHardError(STATUS_HOST_DOWN, 0, 0, NULL, OptionShutdownSystem, &Response);此崩溃技巧可确保 UEFI 组件在安全启动强制下运行,或者,如果系统过时,则绕过安全启动。
重新启动后,EFI 应用程序会找到 ,检查加密标志,并分支到加密或解密逻辑。\EFI\Microsoft\Boot\config
要解密,受害者必须输入一个 32 个字符的密钥;然后,EFI bootkit 解密文件,如果明文与一系列 0x07 字节匹配,则继续从其备份中恢复 MFT 和合法引导加载程序。verify.old
通过将这种持久性直接嵌入到固件层中,HybridPetya 确保勒索软件无法被标准作系统级修复工具删除,从而提高其弹性并将其视为针对固件的威胁的里程碑。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
