從 2018 年 Lojax 首次利用 UEFI Bootkit 進行攻擊以來，MosaicRegressor、Trickbot、FinSpy、Especter、MoonBounce、CosmicStrand，以及 2022 年被放到暗網販賣，2023 年開源的 BlackLotus 等惡意程式接連出現，凸顯了這項技術在資安領域的潛在威脅。

本次分享將整理 Bootkit 的相關資料，從基礎的 UEFI 背景知識開始，聚焦於攻擊者如何繞過 Secure Boot，成功執行惡意 EFI 程式，達成持久化控制（Persistence）。與 BYOVD（Bring Your Own Vulnerable Driver）攻擊相比，Bootkit 從啟動階段就介入執行，影響作業系統各功能的初始化過程。另外 Bootkit 可以修改 SPI Flash，即使在作業系統重灌後仍能持續運作。

此外，議程將剖析攻擊過程中的技術細節，包括如何繞過安全機制以及在 Boot Loader 階段執行的手法，同時探討可能的偵測與防禦方式。雖然此類攻擊發生在啟動階段讓防毒軟體難以介入，但透過攻擊的準備過程與利用後的行為模式，仍能找到有效的偵測線索。希望藉由本次分享，讓更多人認識 Bootkit 的威脅。