UEFI BootKit恶意软件狩猎技术

安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

UEFI BootKit类型的恶意软件一直是高级黑客组织研究的重点之一，2023年3月国外某安全厂商首次发现了一例绕过系统安全启动的UEFI BootKit攻击样本，被将它命名为黑莲花BlackLotus，笔者第一时间对该攻击样本进行了详细的跟踪分析，发现该样本存在多种反调试和反虚拟机技巧，通过分析发现该攻击样本主要利用了CVE-2022-21894漏洞来绕过系统启动安全检测。

除BlackLotus恶意软件之外，笔者此前还详细跟踪分析研究了多例国外一些安全厂商发现的一些UEFI BootKit类型的恶意软件家族，如下所示：

笔者在《2023年度总结》威胁洞察中已经提到了基于UEFI BootKit恶意软件的攻击活动在未来可能会有所增加，如下所示：

2024年ESET安全厂商又发现了一例针对Linux系统的UEFI BootKit攻击样本，并将它命名为Bootkitty，ESET最初是从VT上捕获到相关恶意软件样本，2024年11月一个名为bootkit.efi的未知UEFI样本被上传到VT上面，ESET随后针对该样本进行了跟踪分析并发布了报告，报告链接地址：

https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux/

前不久ESET安全研究人员公布，他们发现了一个允许绕过UEFI安全启动的漏洞，该漏洞影响了大多数基于UEFI的系统，编号为CVE-2024-7344。

利用此漏洞会导致在系统启动期间执行不受信任的代码，使潜在攻击者能够轻松部署恶意UEFI BootKit启动套件，例如Bootkitty或BlackLotus等UEFI BootKit恶意软件，即使在启用了UEFI安全启动的系统上也是如此，无论安装的操作系统是什么。

该漏洞是由于使用自定义PE加载程序，而不是使用标准且安全的UEFI函数LoadImage和StartImage而导致的，因此无论UEFI安全启动状态如何，该应用程序都允许在系统启动期间从名为cloakdat的特制文件加载任何UEFI类型的二进制文件，甚至是未签名的二进制文件。

狩猎技术

与传统的操作系统级恶意软件相比，诸如bootkit和植入程序之类的固件威胁由于其持久性和逃避检测的能力而变得越来越普遍，高端的黑客组织更加青睐这些威胁技术，因为即使采取了常规安全措施，它们仍无法被发现，尤其是当通过物理访问或UEFI漏洞禁用UEFI 安全启动时。

检测未知的BootKit成为了网络安全的一个关键挑战，目前大多数情况下，所有已知的 UEFI 植入程序和 bootkit 都是在成功部署后才被检测到的，这表明现有安全解决方案存在局限性。

binarly-io公司的安全研究人员在REverse_2025安全大会上发表了一个关于UEFI BootKit恶意软件的狩猎技术报告，链接如下：

https://github.com/binarly-io/Research_Publications/tree/main/REverse_2025

里面提到了他们使用Yara和FwHunt等规则进行UEFI BootKit恶意软件狩猎的一些方法和技术手段，binarly-io安全公司安全研究人员在固件级恶意软件有比较深入的研究，笔者此前一直比较关注他们的一些研究成果。

他们通过对一些历史出现的UEFI BootKit恶意软件进行逆向分析，提取恶意样本中一些常见的代码特征，例如钩子链、持久性机制和其他一些恶意软件使用的独特功能等，然后开发了基于代码相似性的通用检测技术方法，相关的检测工具FwHunt，工具链接：

https://github.com/binarly-io/FwHunt

其实最终不管是什么类型的恶意软件，不管多么高级的恶意软件，不管使用什么AI技术，最终使用的技术仍然是最基础的检测和狩猎技术，还是先通过分析或学习恶意软件样本，提取相关的Yara等规则来对样本进行检测，UEFI BootKit恶意软件Yara检测规则，如下所示：

Yara规则链接：

https://github.com/binarly-io/Research_Publications/blob/main/REverse_2025/bootkit_hunting/rules/YARA/bootkit.yara

如果你对UEFI BootKit恶意软件分析与研究感兴趣，可以与笔者交流，关注笔者此前发布的一些UEFI BootKit的分析文章，也可以多多关注binarly-io公司发布的相关报告。

https://github.com/binarly-io/Research_Publications

总结结尾

黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在，防不胜防，很多系统可能已经被感染了各种恶意软件，全球各地每天都在发生各种恶意软件攻击活动，黑客组织一直在持续更新自己的攻击样本以及攻击技术，不断有企业被攻击，这些黑客组织从来没有停止过攻击活动，非常活跃，新的恶意软件层出不穷，旧的恶意软件又不断更新，需要时刻警惕，可能一不小心就被安装了某个恶意软件。

王正

笔名：熊猫正正

恶意软件研究员

长期专注于全球恶意软件的分析与研究，深度追踪全球黑客组织的攻击活动，擅长各种恶意软件逆向分析技术，具有丰富的样本分析实战经验，对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究