新的HybridPetya勒索软件通过CVE-2024-7344漏洞绕过UEFI安全启动

安全运维 2025-09-13 mervin 手机阅读

网络安全研究人员发现了一种新的勒索软件，被称为HybridPetya，类似于臭名昭著的Petya/NotPetya恶意软件，同时还具有使用今年早些时候披露的现已修补的漏洞绕过统一可扩展固件接口 (UEFI) 系统中的安全启动机制的能力。

斯洛伐克网络安全公司ESET表示，这些样本已于2025年2月上传到VirusTotal平台。

"HybridPetya加密主文件表,其中包含有关NTFS格式分区上所有文件的重要元数据，”安全研究员martinsmol á r说。“与原始的Petya/NotPetya不同，HybridPetya可以通过在EFI系统分区上安装恶意EFI应用程序来破坏基于UEFI的现代系统。”

换句话说，部署的UEFI应用程序是负责加密主文件表 (MFT) 文件的核心组件，,其中包含与NTFS格式的分区上的所有文件相关的元数据。

审计及以后
HybridPetya带有两个主要组件: bootkit和安装程序，前者出现在两个不同的版本中。由安装程序部署的bootkit主要负责加载其配置并检查其加密状态。它可以有三个不同的值-

0-加密就绪
1-已加密，并且
2-赎金支付，磁盘解密
如果该值设置为0，它继续将标志设置为1，并使用配置中指定的密钥和nonce用Salsa20加密算法加密 \ EFI \ Microsoft \ Boot \ verify文件。在启动所有NTFS格式分区的磁盘加密过程之前，它还会在EFI系统分区上创建名为 “\ EFI \ Microsoft \ Boot \ counter” 的文件。该文件用于跟踪已经加密的磁盘集群。

此外，bootkit使用有关当前加密状态的信息更新受害者屏幕上显示的伪造CHKDSK消息，而受害者则被欺骗认为系统正在修复磁盘错误。

如果bootkit检测到磁盘已经加密 (i.e.,标志设置为1)，它向受害者提供赎金票据，要求他们向指定的钱包地址发送1，000美元的比特币 (34UNkKSGZZvf5AYbjkUa2yYYzw89ZLWxu2)。钱包目前是空的，尽管它在2025年2月至5月之间收到了183.32美元。

赎金记录屏幕还提供了一个选项，让受害者在付款后输入从运营商购买的欺骗密钥，随后bootkit验证密钥并尝试解密 “EFI \ Microsoft \ Boot \ verify” 文件。如果输入了正确的密钥，则将标志值设置为2，并通过读取 “\ EFI \ Microsoft \ Boot \ counter” 文件的内容来启动解密步骤。

“当解密的簇数等于计数器文件中的值时，解密将停止，” smol á r说。在MFT解密过程中，bootkit显示当前解密过程状态。

解密阶段还涉及bootkit恢复合法的引导加载程序 -- “\ EFI \ Boot \ bootx64.efi” 和 “\ EFI \ Microsoft \ Boot \ bootmgfw”。efi ”-- 来自先前在安装过程中创建的备份。完成此步骤后，系统会提示受害者重新启动其Windows计算机。

值得注意的是，在UEFI bootkit组件部署期间由安装程序启动的bootloader更改会触发系统崩溃 (又名蓝屏死机或BSoD) 并确保在设备打开后执行bootkit二进制文件。

HybridPetya的选择变体，添加了ESET，已被发现可以利用CVE‑ 2024 ‑ 7344(CVSS得分: 6.7)，Howyar Reloader UEFI应用程序中的远程代码执行漏洞 (“reloader.efi”，在项目中重命名为 “\ EFI \ Microsoft \ Boot \ bootmgfw”。efi ”)，这可能会导致安全引导旁路。

该变体还打包了一个特制的名为 “cloak.dat” 的文件，该文件可通过reloader.efi加载，并包含XORed bootkit二进制文件。微软自已撤销旧的，脆弱的二进制作为其一部分修补程序星期二更新2025年1月更新。

CIS构建套件
“当重新加载器。efi二进制 (部署为bootmgfw。efi) 在引导期间执行，它搜索是否存在斗篷。EFI系统分区上的dat文件，并以非常不安全的方式从该文件加载嵌入式UEFI应用程序，完全忽略任何完整性检查，从而绕过UEFI安全启动，” ESET说。

HybridPetya和NotPetya不同的另一个方面是，与后者的破坏性能力不同，新识别的人工制品允许威胁行为者从受害者的个人安装密钥中重建解密密钥。

来自ESET的遥测数据表明没有证据表明HybridPetya在野外使用。这家网络安全公司还指出最近的发现a的UEFI Petya概念验证(PoC) 由安全研究员Aleksandra “Hasherezade” Doniec提出，并补充说 “这两个案件之间可能存在某种关系”。然而，它并不排除HybridPetya也可能是PoC的可能性。

“HybridPetya现在至少是具有UEFI安全引导旁路功能的真实或概念验证UEFI bootkit的第四个公开示例，加入黑莲花(开采cve-2022-21894)，BootKitty(利用LogoFail)，以及Hyper-v后门PoC(利用cve-2020-26200)，”ESET说。

“这表明安全引导旁路不仅是可能的-它们对研究人员和攻击者都变得越来越普遍和具有吸引力。