0x0 分类

  • UEFI阶段:DXE
  • 感染方式:Win->UEFI->Win
    1. 通过windows端工具RWEverything获取UEFI bios固件
    2. 执行固件植入,植入模块SecDxe,SecDxe携带ntfs驱动,且携带2个win端执行的payload。首先加载携带的ntfs驱动,然后向磁盘释放两个payload可执行文件
    3. 刷回bios固件

0x1 逆向分析

binwalk扫描SecDxe,包含4个PE头,第二个是ntfs驱动(efi可执行文件),第三个和第四个是释放到磁盘的文件

20230619203802

sub_6F8:实现ntfs驱动加载,所在指针&off_2060,长度299840,该PE文件为efi NTFS驱动,识别类型为MS-DOS executable PE32+ executable (DLL) (EFI boot service driver) x86-64, for MS Windows

20230619202001

sub_8A8:实现文件释放,释放数组指针unk_4B3E0,长度3072,名称autoche.exe

20230619205235

sub_8A8:实现文件释放,释放数组指针off_4BFE0,长度17408,名称rpcnetp.exe

20230619210520

0x2 样本结构

SecDxe.efi:

  • PE1: NTFS驱动
  • PE2: autoche.exe
  • PE3: rpcnetp.exe