一種強大的新型BIOS Bootkit病毒曝光

stanley ? ? Linux資訊, 安全運維, 技術資訊

一種強大的新型BIOS Bootkit病毒曝光

近日,安全研究人員開發出一種新的BIOS bootkit,它可以竊取敏感數據,以及流行操作系統使用的PGP密鑰。包括華碩、惠普、宏基、技嘉以及微星等在內的各大供應商的主板都受到該病毒影響。

BIOS bootkits是真實存在的。斯諾登在披露NSA ANT部門使用的監視工具集時,曾提到過BIOS bootkits。這些惡意軟件能夠入侵受害機器的BIOS,以此確保隱藏的持久性以及實現復雜的逃避技術。即使重裝操作系統,BIOS bootkits仍然能夠存留。

FreeBuf科普:BIOS

BIOS是英文”Basic Input Output System”的縮略詞,直譯過來后中文名稱就是”基本輸入輸出系統”。其實,它是一組固化到計算機內主板上一個ROM芯片上的程序,它保存著計算機最重要的基本輸入輸出的程序、系統設置信息、開機后自檢程序和系統自啟動程序。 其主要功能是為計算機提供最底層的、最直接的硬件設置和控制。

新型BIOS bootkit介紹

最近,卡巴斯基實驗室的專家們發現,黑客組織方程式發起的一場復雜的APT(高級持續性威脅),使用了BIOS bootkits來入侵目標機器??紤]到這種惡意植入的復雜性,很多安全專家推測這次攻擊與NSA有直接關系。

NSA和方程式(攻擊同時使用了EquationDrug和GrayFish平臺)都利用了模塊NLS_933W.DLL,而該模塊被主要的供應商廣泛使用。NLS_933W.DLL中包含了一個能夠隱藏惡意軟件的驅動程序,而由攻擊者開發的驅動程序允許在內核級別與硬盤進行交互,卡巴斯基的專家們解釋說。

卡巴斯基實驗室的首席安全研究員Vitaly Kamluk說:

“即使它使用了特定序列的ATA命令來與硬盤交互,但并不是因為代碼復雜,其實最復雜的是重新設定固件本身。為了掌握如何寫固件,我們需要花費幾年的時間去學習。這是更高層次的持久性攻擊,這是我們第一次從高級攻擊者那里見到的這么高復雜度的攻擊技術?!?/span>

今天,在溫哥華的CanSecWest會議上,研究人員Corey Kallenberg和Xeno Kovah,即LegbaCore的創始人,將展示他們對一套新的BIOS漏洞的研究情況,以及對BIOS rootkits的開發成果。

他們發現了一種繞過BIOS防護機制的新方法,而且這項研究中最有趣的部分是,他們已經定義了一種方法來實現漏洞發現的自動化實現。

一種強大的新型BIOS Bootkit病毒曝光

這種攻擊在特定條件下是可行的,只需滿足攻擊者能夠遠程訪問目標機器,以此來植入BIOS bootkit,接著攻擊者就可以通過硬件來提升權限。

BIOS bootkit工作原理

該病毒的利用方式可以禁用BIOS的防御機制,這可以防止固件重新flash,然后就可以注入并執行惡意代碼。

這個BIOS bootkit最強大的地方是,它被注入到了系統管理模式。系統管理模式是一個計算機操作模式,在該模式中所有正常的執行,包括操作系統,都會被中斷,而特定獨立的軟件,包括固件,則會以高權限運行。

研究人員利用系統管理模式以高權限運行它們的BIOS bootkit,并管理目標結構的各種組件,包括內存。研究人員強調,像Tails這種安全發行版也能夠被成功植入。至于BIOS bootkit的危害性,它可以竊取敏感數據,以及流行操作系統使用的PGP密鑰等。

該bootkit能夠在很多廠商的BIOS版本上工作,根據專家所說,BIOS bootkit在UEFI(統一可擴展固件接口)下同樣有效,而UEFI被認為是BIOS改進的下一代版本。

[參考來源securityaffairs,有適當修改,轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)]

原創文章,作者:stanley,如若轉載,請注明出處:http://www.www58058.com/1360

(1)
stanleystanley
上一篇 2015-03-23 12:14
下一篇 2015-03-23 15:59

相關推薦

  • 當你在瀏覽器中輸入Google.com并且按下回車之后發生了什么?

    原文出處: Alex   譯文出處:skyline75489  本文試圖回答一個古老的面試問題:當你在瀏覽器中輸入Google.com并且按下回車之后發生了什么? 不過我們不再局限于平常的回答,而是想辦法回答地盡可能具體,不遺漏任何細節。 這將是一個協作的過程,所以深入挖掘吧,并且幫助我們一起完善它。仍然有大…

    Linux資訊 2015-03-16

  • 2016全球運維大會,優云蔣君偉演講“CMDB+自動化的管理融合”成一大亮點

    2016全球運維大會于9月23日-24日在上海盛大開幕。作為國內運維行業的重量級大會,優云產品總監蔣君偉在自動化專場與來自全國各地的運維同行一起探討、分享業內自動化運維的最佳實踐?,F場情緒熱烈,氣氛高漲,成為了本屆全球運維大會的一大亮點。 全新梳理自動化與CMDB的融合之道 全球運維大會當天,運維自動化專場很多大牛針對自動化運維管理中的CMDB進行了激烈的討…

    Linux資訊 2016-12-05

  • 學習宣言

     學習計劃:參考N24學習時間與線路圖,盡最大努力完成。 目標:學習好Linux,提升自我價值,找一份待遇好的工作。 宣言:每一次輕易的放棄,都是人生的一處敗筆,為了夢想,加油!

    Linux資訊 2016-10-26

  • 到處都是Unix的胎記

    一說起Unix編程,不必多說,最著名的系統調用就是fork,pipe,exec,kill或是socket了(fork(2),execve(2), pipe(2), socketpair(2), select(2), kill(2), sigaction(2))這些系統調用都像是Unix編程的胎記或簽名一樣,表…

    Linux干貨 2015-04-03

  • iptables-防火,防盜,防老王

        防火墻,其實說白了將,就是用于實現linux下訪問控制的功能的,它分為兩種方式,硬件防火墻和軟件防火墻。不過無論是在哪個網絡中,防火墻工作的地方一定是在網絡的邊緣。而我們的任務就是需要去定義防火墻如何工作的,這就是防火墻的策略,規則,以達到讓它對出入網絡的IP,數據進行檢測。     目前市…

    Linux干貨 2017-05-02

  • 使用iptables緩解DDOS及CC攻擊

    緩解DDOS攻擊 防止SYN攻擊,輕量級預防 iptables -N syn-flood iptables -A INPUT -p tcp –syn -j syn-flood iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN iptables -A syn-fl…

    Linux干貨 2015-02-09
欧美性久久久久