互联网最具攻击性的威胁之一刚刚变得更加恶毒，它能够感染现代计算机最关键的部分之一。

Trickbot是一款以其高级功能而闻名的恶意软件。它的模块化框架擅长于获得强大的管理员特权，在网络中迅速从一台计算机传播到另一台计算机，并执行侦察，识别属于高价值目标的受感染计算机。它经常使用像Mimikatz这样的现成软件，或者像从国家安全局偷来的“永恒蓝”这样的漏洞。

Trickbot曾经是一个简单的银行欺诈木马，沐鸣开户测速经过多年的发展，已经发展成为一个功能齐全的恶意软件即服务平台。欺骗机器人运营商向其他犯罪分子出售他们大量受感染机器的使用权，这些犯罪分子利用僵尸网络传播银行木马、勒索软件和其他恶意软件。客户不必经历自己诱骗受害者的麻烦，他们有一组现成的电脑来运行他们的犯罪软件。

安全链的第一个环节

现在，骗术机器人获得了一项新能力:修改计算机UEFI的能力。UEFI是统一可扩展固件接口的缩写，它是连接计算机设备固件和操作系统的软件。作为几乎所有现代机器开机时运行的第一个软件，它是安全链的第一个环节。因为UEFI驻留在主板上的闪存芯片中，所以很难检测和清除感染。

根据周四公布的研究结果，Trickbot已经更新为RWEverything的模糊驱动程序，这是一个现成的工具，人们使用它来编写固件到几乎任何设备。

目前，研究人员发现“欺骗机器人”使用该工具只是为了测试受感染的机器是否受到了UEFI未经授权更改的保护。但只需一行代码，恶意软件就可以被修改，感染或完全删除固件的关键部分。

安全公司AdvIntel和Eclypsium在周四联合发布的帖子中称:“这种行为为骗术机器人运营商实施更积极的措施提供了条件，比如植入固件、后门或破坏目标设备。”“很有可能，威胁分子已经在利用这些漏洞攻击高价值目标。”

罕见的现在

到目前为止，只有两个记录在案的恶意软件感染了UEFI。第一件是安全提供商ESET在两年前发现的，沐鸣开户测速由Fancy Bear制造。Fancy Bear是世界上最先进的黑客组织之一，也是俄罗斯政府的一个分支。通过重新利用一个名为LoJack的合法防盗工具，黑客能够修改UEFI固件，使其报告给Fancy Bear服务器，而不是属于LoJack的服务器。

第二批真实世界的UEFI感染是在两个月前由莫斯科安全公司卡巴斯基实验室发现的。该公司的研究人员在两台电脑上发现了恶意固件，这两台电脑都属于亚洲的外交人物。病毒在计算机的启动文件夹中植入了一个恶意文件，这样每当计算机启动时，该文件就会运行。

存储UEFI的主板闪存芯片具有访问控制机制，可以在引导过程中锁定该机制，以防止未经授权的固件更改。然而，这些保护常常被关闭、错误配置或受到漏洞的阻碍。

大规模感染UEFI

目前，研究人员已经看到了Trickbot使用它新获得的uefi编写能力来测试保护是否到位。假设恶意软件操作员正在编制一个容易受到此类攻击的机器列表。运营商可以出售这些机器的使用权。客户推勒索软件可以使用列表覆盖UEFI，使大量的机器无法启动。意图从事间谍活动的欺骗机器人客户可以利用该名单在高价值网络的pc上植入难以检测的后门。

Trickbot对uefi编写代码的接受，可能会使这种攻击成为主流。与通常由国家资助的高级持续威胁组织的统治不同，进入易受uefi攻击的电脑可以被出租给同样级别较低的犯罪分子，他们现在正使用Trickbot进行其他类型的恶意软件攻击。

AdvIntel和Eclypsium的研究人员写道:“这里的区别在于，TrickBot的模块化自动化方法、强大的基础设施和快速大规模部署能力将这一趋势提升到了一个新的水平。”“现在，针对大规模破坏性或间谍活动，可以将整个垂直市场或部分关键基础设施作为目标，所有这些都已经就位。”