出“绝招”帮你远离Moonbounce恶意软件带来的侵害
您一定听说过恶意软件的威力吧?它能够在几秒钟内破坏您的系统,盗取或是锁死您的大量敏感文件。我们常见的恶意软件有许多种,其中最危险的一类当属Moonbounce。
那么Moonbounce恶意软件究竟是什么?我们怎么能够保护自己以免受其伤害?如果已经被感染,我们又该如何从系统中清除Moonbounce恶意软件呢?下面,我将和您对这些问题展开深入探讨。
什么是Moonbounce恶意软件?
总的说来,Moonbounce恶意软件是属于特洛伊木马病毒类别中的一种病毒。它是一种持久性的恶意软件,就算磁盘驱动器被格式化、操作系统被重新安装,它仍旧可以存在。也就是说,Moonbounce恶意软件很难被常规的防病毒软件识别和删除。其原因在于,一旦Moonbounce恶意软件获得了对于目标设备的访问权限,它就会避开杀毒软件查找系统异常时的常规路径,而迁移到别处。
Moonbounce恶意软件的工作原理
Moonbounce恶意软件是一种特殊而复杂的引导工具包,它主要攻击的是目标计算机的主板固件,也就是被称为统一可扩展固件接口(Unified Extensible Firmware Interface,UEFI)的部分。攻击得手后,它对于计算机硬盘驱动器或操作系统所做的任何更改,都会被留存下来。
常言道“请神容易送神难”。不请自来的Moonbounce一旦进入了您的计算机系统,不但难以被发现,而且很难被清除。具体说来,Moonbounce在获得访问权限后,首先会释放一组钩子。这些钩子会同时拦截设备的EFI引导服务表中多个函数的执行情况。
然后,这些钩子被用来转移您的设备上各个函数调用的执行,进而让恶意软件看上去符合计算机的CORE_DXE组件。随后,它们会创建一个额外的钩子,以便恶意软件可以在系统启动的时候,轻松地注入计算机系统。
下一个阶段会出现在Windows设备完成引导之后。恶意软件并不会满足当前持续、稳定地访问主机系统的状态。它会通过部署新的恶意软件,以进一步感染您的其他设备。
在Moonbounce恶意软件的稳定运行过程中,它还会将自身植入计算机主板的SPI接口的闪存中。其主要目的是,通过将恶意软件部署和繁殖到已经感染的设备上,以触发各种后续的攻击。
如何保护系统免受Moonbounce恶意软件的侵害
为防止您的设备被Moonbounce恶意软件感染或面临类似的危险,您可以采取如下六个步骤:
1.安装杀毒软件
根据“祖训”,安装防病毒软件是保护系统免受威胁的最重要步骤之一。防病毒软件会持续扫描您的计算机,以识别和删除任何已识别的恶意软件。同时,它还会通过执行自动化的更新,以更好地防御各种新发现的病毒和其他恶意软件可能产生的威胁。
2.定期更新软件
您需要优先更新已安装的各种软件,其中包括:操作系统、浏览器和应用程序等。软件制造商往往会致力于通过持续的渗透测试,来消减在其应用程序中发现到的已知漏洞。
3. 仅从可信的来源获取应用程序
请确保仅从信誉良好的来源处,购买应用程序和软件产品。这将会使您的设备感染恶意软件的可能性降至最低。
您可以通过检查来源的有效性和信任度,来判断应用程序的安全性。例如:我们应查看Google Play或Apple应用商店内,应用描述中所提供的程序全名、已发布的应用列表、以及联系信息。在允许应用程序被列出和显示之前,这两家商店都会去评估应用程序的整体安全态势。当然,有些时候某些高级的恶意程序或有漏洞的平台,也可能绕过此类检查。不过,这样的“白名单”机制,已经能够为我们过滤掉绝大部分的恶意软件了。
4. 不要点击可疑的链接
如果您出于某种原因怀疑某个链接的话,那么请一定不要点击它。如今,网络犯罪分子最常用的方法便是,克隆出一个带有有危害链接的网站。这些链接一旦被点击,就可以访问到您的个人详细信息,甚至在您单击链接的同时,下载并传播病毒。
近年来,网络犯罪分子最采用的攻击方法之一便是网络钓鱼。这同样也是黑客用来将恶意软件传播到目标设备上的最常用方法。网络钓鱼的主要使命是,诱使您打开消息、或单击看似来自可靠来源的链接。此外,网络钓鱼链接所重定向的网站,通常还会向您索取更多的个人信息。
5.定期备份数据
总的说来,备份数据有助于防止个人信息的意外丢失,并能够减少由勒索软件勒索造成的数据可用性的丧失。如果您平时能够保持定期备份重要数据的良好习惯,那么就算发生诸如Moonbounce恶意软件攻击之类的不幸事件时,您仍然可以通过备份,检索到所有有价值的信息,并启动数据的恢复过程。
6. 教育你的团队
除了上述介绍的技术手段,我们还需要通过教育和培训之类的管理手段,让相关人员运用基本意识和知识,识别各种恶意软件和骗局。您可以向他们展示如何判断待访问的网站是否已经过验证,以及当他们发现自己已经在浏览未经验证的网站时,应该采取何种操作。归根结底,整个团队了解的基本网络攻击特征和最佳实践越多,企业和个人可能受到的恶意软件攻击的损失就越小。
如何应对Moonbounce恶意软件?
一旦您发现自己的系统中存在已激活的Moonbounce恶意软件,那么它就很有可能已经正在阻断系统中各种文档的正常访问了。那么,我们该如何应对Moonbounce恶意软件的危害呢?
1.卸载流程
请在Windows操作系统界面上,单击“开始”按钮,然后将鼠标悬停在电源按钮上方(但不要点击),单击“设置”,然后在列表中选择、或是在上方的检索区域内查找“应用程序和功能”。将出现的列表向下滚动,查找并定位Moonbounce或其他可疑的恶意软件。最后右击它们并选择“卸载”。
2.删除恶意扩展
除了软件本身,我们也需要删除那些可能与Moonbounce恶意软件相关的、针对浏览器的恶意扩展。让我们以Chrome浏览器为例,请在浏览器中单击“自定义和控制Google Chrome”选项。在此,您可以找到与Moonbounce或其他恶意软件相关的任何恶意扩展,接着您便可以单击垃圾桶图标,将它们从系统中删除掉。
完成后,您的系统中可能仍然存在着Moonbounce恶意软件的痕迹。它们可以通过重新安装的方式,在您的浏览器上死灰复燃。对此,我们需要借助其他安全查杀软件,将其核心文件删除干净。
3.使用注册表编辑器
您还可以使用Windows系统上的注册表编辑器,删除与恶意软件相关的各种文件。为此,您可以同时按“Windows + R”,以启动“运行”窗口。然后请输入“Regedit”并单击“确定”,以启动注册表编辑器。当然,您需要事先验证自己是否具有修改系统注册表的权限。
在注册表编辑器中,您可以依次选择“编辑”->“查找”,然后输入您想搜索的名称关键字。如果出现多个相似名称的条目的话,您可能需要多按几次“下一个”。定位到您要查找的条目后,您可以在异常的恶意注册表文件项上点击右键,以删除它。
4.重新检查您的电脑
该阶段的目标应该是消除所有恶意软件复发的可能性。具体操作包括:在设备系统中,通过再次搜索,删除任何剩余的Moonbounce非必需的组件。您同样可以使用防病毒程序,来扫描自己的整个电脑。
5. 清除浏览器的劫持组件
有时候,狡猾的Moonbounce和其他恶意软件可能会通过弹窗和屏幕通知的方式,诱使人们再次下载恶意软件,进而让恶意网站劫持您的浏览器。为了避免此类情况的发生,您需要将Web浏览器重置为默认设置,以消除可能被恶意软件或剩余的广告软件劫持的情况。
小结
实际上,我们和攻击者是在一个没有硝烟的战场上比拼着速度。一旦Moonbounce恶意软件获得了针对目标主机系统的访问权限,它就会在明里或暗里发起毁灭性的攻击。因此,为了尽早地检测到网络和主机中的威胁,我们需要通过部署网络安全措施,来积极、主动地发现和修补漏洞,避免蒙受服务中断和数据丢失等损失。
译者介绍
陈峻 (Julian Chen),51CTO社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验;持续以博文、专题和译文等形式,分享前沿技术与新知;经常以线上、线下等方式,开展信息安全类培训与授课。
原文标题:??What Is Moonbounce Malware and How Does It Work???,作者:Chris Odogwu