深度观察网2025年09月14日 08:53消息,微软漏洞遭利用,新型HybridPetya勒索软件可绕过UEFI安全启动机制。
9月13日,ESET发布通告称,其安全研究人员发现并命名了一种名为HybridPetya的新勒索软件。该恶意程序具备绕过微软UEFI安全启动机制的能力,可在EFI系统分区中部署恶意应用程序。 此次事件再次凸显了现代操作系统安全机制面临的挑战。尽管UEFI安全启动旨在防止未经授权的软件运行,但攻击者仍在不断寻找绕过方法,显示出勒索软件技术的持续进化。对于用户而言,及时更新系统补丁、加强安全防护措施显得尤为重要。同时,这也提醒相关机构和企业需对新型威胁保持高度警惕,提前做好应对准备。
据称,HybridPetya源自2016年至2017年期间爆发的Petya和NotPetya恶意软件。当时,这些攻击通过加密系统阻止Windows启动,但并未提供任何恢复方式。
ESET的研究人员在VirusTotal平台上发现了一个名为HybridPetya的恶意软件样本,他们表示,这一发现可能是某个研究项目的一部分,也可能是作为概念验证的工具,或者是仍处于测试阶段的早期攻击手段。 从目前的信息来看,HybridPetya的出现再次提醒我们,网络攻击的形态正在不断演变,攻击者可能正在尝试结合多种技术手段来增强其攻击效果。尽管该样本尚未被广泛用于实际攻击,但它的存在仍然值得引起警惕。网络安全机构和企业应持续关注此类新型威胁,并加强防御措施,以应对潜在的风险。
研究人员指出,HybridPetya的出现表明,具备绕过安全启动功能的UEFI引导工具包已经演变为现实中的威胁,类似的案例还有BlackLotus、BootKitty和Hyper-VBackdoor。
与Petya相比,HybridPetya新增了多项功能,使其能够安装到EFI系统分区,并通过利用漏洞CVE-2024-7344来绕过安全启动机制。该漏洞由ESET于2025年1月公开,问题源于微软签名的程序,攻击者可借此部署引导工具包,即使设备已启用安全启动功能。
一旦运行,HybridPetya在攻击过程中会检查主机是否采用UEFI与GPT分区方式,并将多个文件写入EFI系统分区,包括配置与验证文件、修改后的引导加载程序、备用加载程序、利用代码载体以及加密进度状态文件。ESET在分析中提到的文件列表中包含了这些关键组件。 从技术角度来看,这种攻击手段显示出恶意软件对系统底层结构的深入操控能力,尤其是在UEFI环境下,意味着攻击者能够绕过传统安全机制,实现更持久的控制。这类行为不仅增加了系统的安全隐患,也对安全厂商提出了更高的检测和应对要求。随着硬件安全防护的不断升级,攻击者也在不断进化其攻击策略,这需要我们在防御层面保持高度警惕。
\EFI\Microsoft\Boot\config(加密标识、密钥、随机数及受害者 ID)
\EFI\Microsoft\Boot\verify(用于验证解密密钥正确性)
\EFI\Microsoft\Boot\counter(加密进度追踪)
\EFI\Microsoft\Boot\bootmgfw.efi.old(原始引导加载程序备份)
\EFI\Microsoft\Boot\cloak.dat(在绕过安全启动的变种中保存被混淆的 bootkit)
此外,恶意软件会用存在漏洞的“reloader.efi”替换 \EFI\Microsoft\Boot\bootmgfw.efi,并删除 \EFI\Boot\bootx64.efi。原始 Windows 引导加载程序会被保存,以便在受害者支付赎金后恢复系统。
感染后,HybridPetya 会触发蓝屏死机(BSOD),显示虚假报错并强制重启。重启后,恶意引导工具包即可加载,随后利用 Salsa20 加密算法加密所有 MFT 簇,并显示伪造的 CHKDSK 界面。加密完成后,系统再次重启,并在启动时显示勒索信。
勒索信息要求受害者支付1000美元(注:当前汇率约合7124元人民币)的比特币赎金。在完成支付后,受害者将获得一个32位字符的密钥,用以解密数据并恢复原始的引导程序。
目前尚未有证据显示HybridPetya被用于实际攻击,但ESET提醒,类似的概念验证项目有可能被恶意利用,并在未来的大规模攻击中针对未打补丁的Windows系统。相关的威胁指标已通过GitHub公开。
值得一提的是,微软已在2025年1月的补丁星期二修复了CVE-2024-7344漏洞,安装该更新或更高版本安全补丁的Windows系统能够有效防范HybridPetya攻击。
