新型勒索软件HybridPetya可绕过UEFI安全启动植入EFI分区恶意程序

胡金鱼新闻 11小时前发布

8294

导语：HybridPetya的出现与BlackLotus、BootKitty、Hyper-V后门等案例一样，再次证明具备“安全启动绕过”功能的UEFI引导工具包（bootkit）已构成真实威胁。

近期发现的一款名为“HybridPetya”的勒索软件变种，能够绕过UEFI安全启动（UEFI Secure Boot）功能，在EFI系统分区中安装恶意程序。

HybridPetya的设计明显受2016至2017年间活跃的破坏性恶意软件Petya/NotPetya的启发——后者曾通过加密计算机数据阻止Windows启动，且未提供任何数据恢复途径。

网络安全公司ESET的研究人员在VirusTotal平台上发现了HybridPetya的样本，并指出该样本可能是一个研究项目、概念验证代码（proof-of-concept），或是仍处于有限测试阶段的网络犯罪工具早期版本。

即便如此，ESET强调，HybridPetya的出现与BlackLotus、BootKitty、Hyper-V后门等案例一样，再次证明具备“安全启动绕过”功能的UEFI引导工具包（bootkit）已构成真实威胁。

HybridPetya的技术特征与攻击流程

HybridPetya融合了Petya与NotPetya的特性，包括这两款早期恶意软件的界面风格与攻击链；此外，开发者还新增了两项关键功能：可植入EFI系统分区，以及能利用CVE-2024-7344漏洞绕过安全启动。

CVE-2024-7344漏洞由ESET于今年1月发现，该漏洞存在于微软签名的应用程序中——即便目标设备开启了安全启动保护，攻击者仍可利用该漏洞部署引导工具包。

HybridPetya的攻击流程如下：

执行逻辑

1. 环境检测与文件投放：启动后，首先判断主机是否采用“UEFI+GPT分区”架构，随后在EFI系统分区中植入包含多个文件的恶意引导工具包，包括配置文件、验证文件、修改后的引导程序、备用UEFI引导程序、漏洞利用载荷容器，以及用于跟踪加密进度的状态文件。

2. 关键文件替换与备份：ESET列出了已分析的HybridPetya变种所使用的核心文件：

1. \EFI\Microsoft\Boot\config：存储加密标识、密钥、随机数（nonce）及受害者ID；

2.\EFI\Microsoft\Boot\verify：用于验证解密密钥是否正确；

3.\EFI\Microsoft\Boot\counter：记录已加密簇（cluster）的进度；

4.\EFI\Microsoft\Boot\bootmgfw.efi.old：原始引导程序的备份文件；

5.\EFI\Microsoft\Boot\cloak.dat：在“安全启动绕过”变种中存储经XOR加密的引导工具包。

同时，恶意软件会将\EFI\Microsoft\Boot\bootmgfw.efi替换为存在漏洞的“reloader.efi”，并删除\EFI\Boot\bootx64.efi；原始Windows引导程序会被保留，以便受害者支付赎金后恢复系统时激活。

3. 系统中断与加密执行：部署完成后，HybridPetya会触发蓝屏（BSOD）并显示伪造错误信息（与Petya的手法一致），强制系统重启；重启后，恶意引导工具包随之执行，随后勒索软件会从config文件中提取Salsa20密钥与随机数，对所有主文件表（MFT）簇进行加密，同时显示伪造的磁盘检查（CHKDSK）消息（模仿NotPetya的特征）。