概述

2025年7月下旬，ESET研究团队在VirusTotal平台发现可疑勒索软件样本，这些样本从波兰上传，文件名包含notpetyanew.exe等类似名称，暗示其与2017年袭击乌克兰及多国的著名破坏性恶意软件存在关联。NotPetya攻击被认为是历史上最具破坏性的网络攻击，总损失超过100亿美元。

尽管当前发现的样本与Petya和NotPetya都具有共同特征，我们将其命名为HybridPetya。虽然ESET遥测数据显示HybridPetya尚未在野外活跃使用，但其中一个重要细节引起了我们的关注——与原始NotPetya不同，HybridPetya能够通过向EFI系统分区安装恶意EFI应用程序来攻击现代UEFI系统。

HybridPetya技术分析

UEFI引导工具包

我们获得了两个不同版本的UEFI引导工具包组件，两者非常相似但存在某些差异。执行时，引导工具包首先从\EFI\Microsoft\Boot\config文件加载其配置，并检查表示当前加密状态的加密标志。

磁盘加密

如果加密标志值为0，引导工具包从配置数据中提取32字节长的Salsa20加密密钥和8字节长的随机数，随后重写配置文件，将加密密钥清零并将加密标志设置为1。它继续使用配置中的密钥和随机数，通过Salsa20加密算法加密\EFI\Microsoft\Boot\verify文件。

磁盘解密

如果引导工具包检测到磁盘已被加密（配置文件中的加密标志值为1），它会显示勒索通知（图5或图6），要求受害者输入解密密钥。当输入正确长度（32字符）的密钥并按下Enter确认后，引导工具包继续验证密钥。

部署UEFI引导工具包组件

本节重点分析发现的HybridPetya安装程序的引导工具包安装功能。我们获得的安装程序未考虑UEFI安全启动。安装程序通过检索磁盘信息（IOCTL_DISK_GET_DRIVE_LAYOUT_EX）决定系统是否基于UEFI，检查是否使用GPT分区方案（PARTITION_STYLE_GPT），并遍历分区直到发现PartitionType设置为PARTITION_SYSTEM_GUID的分区，即EFI系统分区标识符。

CVE-2024-7344漏洞利用

我们在VirusTotal上发现一个存档，包含UEFI引导工具包部分的变体，但这次捆绑在特别格式化的cloak.dat文件中，与CVE-2024-7344相关——这是我们团队在2025年初公开披露的UEFI安全启动绕过漏洞。

结论

HybridPetya至少是第四个公开已知的真实或概念验证UEFI引导工具包，具备UEFI安全启动绕过功能，加入了BlackLotus（利用CVE-2022-21894）、BootKitty（利用LogoFail）和Hyper-V后门概念验证（利用CVE-2020-26200）的行列。这表明安全启动绕过不仅可能，而且正变得越来越常见，对研究人员和攻击者都更具吸引力。

IoCs

文件

MITRE ATT&CK技术

此表使用MITRE ATT&CK框架第17版构建。