网络安全研究人员发现了一个以前未记录在案的统一可扩展固件接口(UEFI)引导工具包，它找到了绕过SecureBoot保护的巧妙方法。在对名为ESPecter的bootkit进行彻底分解时，发现它的ESET研究人员指出，该恶意软件加载自己的未签名驱动程序以绕过Windows驱动程序签名强制(WDSE)并永久驻留在受感染设备的EFI系统分区(ESP)中.

研究人员在他们的博客文章中指出：“在受感染的机器上遇到了ESPecter以及具有键盘记录和文档窃取功能的用户模式客户端组件，这就是我们认为ESPecter主要用于活动的原因。”

我们正在研究我们的读者如何将VPN与Netflix等流媒体网站结合使用，以便我们改进内容并提供更好的建议。此调查不会占用您超过60秒的时间，如果您能与我们分享您的经验，我们将不胜感激。

研究人员将ESPecter描述为UEFIbootkit的第二个真实示例，它在将持久性存档到ESP之前将自己呈现为修补的Windows启动管理器。

有趣的是，研究人员指出，ESPecter至少从2012年开始运行，当时它被用于针对具有传统BIOS的系统。

在他们的详细分析中，研究人员观察到ESPecter绕过WDSE，以便在受感染的计算机启动时执行其自己的未签名驱动程序。正是这种恶意驱动程序将其他组件部署到特定系统进程中，以便恶意软件与其命令和控制(C2)服务器进行通信。

研究人员认为，虽然安全启动阻止了不受信任的UEFI二进制文件的执行，但多年来有几个记录在案的UEFI固件漏洞可被利用来绕过或禁用安全机制。

研究人员将保护UEFI固件称为“一项具有挑战性的任务”，研究人员观察到，由于不同供应商应用安全策略和使用UEFI服务的方式不同，这一过程进一步复杂化。

事实上，他们甚至认为，只要启用和配置正确，就可以轻松地通过安全启动等安全机制阻止ESPecter等恶意软件。