一种强大的新型BIOS Bootkit病毒曝光

一种强大的新型BIOS Bootkit病毒曝光

近日,安全研究人员开发出一种新的BIOS bootkit,它可以窃取敏感数据,以及流行操作系统使用的PGP密钥。包括华硕、惠普、宏基、技嘉以及微星等在内的各大供应商的主板都受到该病毒影响。

BIOS bootkits是真实存在的。斯诺登在披露NSA ANT部门使用的监视工具集时,曾提到过BIOS bootkits。这些恶意软件能够入侵受害机器的BIOS,以此确保隐藏的持久性以及实现复杂的逃避技术。即使重装操作系统,BIOS bootkits仍然能够存留。

FreeBuf科普:BIOS

BIOS是英文”Basic Input Output System”的缩略词,直译过来后中文名称就是”基本输入输出系统”。其实,它是一组固化到计算机内主板上一个ROM芯片上的程序,它保存着计算机最重要的基本输入输出的程序、系统设置信息、开机后自检程序和系统自启动程序。 其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。

新型BIOS bootkit介绍

最近,卡巴斯基实验室的专家们发现,黑客组织方程式发起的一场复杂的APT(高级持续性威胁),使用了BIOS bootkits来入侵目标机器。考虑到这种恶意植入的复杂性,很多安全专家推测这次攻击与NSA有直接关系。

NSA和方程式(攻击同时使用了EquationDrug和GrayFish平台)都利用了模块NLS_933W.DLL,而该模块被主要的供应商广泛使用。NLS_933W.DLL中包含了一个能够隐藏恶意软件的驱动程序,而由攻击者开发的驱动程序允许在内核级别与硬盘进行交互,卡巴斯基的专家们解释说。

卡巴斯基实验室的首席安全研究员Vitaly Kamluk说:

“即使它使用了特定序列的ATA命令来与硬盘交互,但并不是因为代码复杂,其实最复杂的是重新设定固件本身。为了掌握如何写固件,我们需要花费几年的时间去学习。这是更高层次的持久性攻击,这是我们第一次从高级攻击者那里见到的这么高复杂度的攻击技术。”

今天,在温哥华的CanSecWest会议上,研究人员Corey Kallenberg和Xeno Kovah,即LegbaCore的创始人,将展示他们对一套新的BIOS漏洞的研究情况,以及对BIOS rootkits的开发成果。

他们发现了一种绕过BIOS防护机制的新方法,而且这项研究中最有趣的部分是,他们已经定义了一种方法来实现漏洞发现的自动化实现。

一种强大的新型BIOS Bootkit病毒曝光

这种攻击在特定条件下是可行的,只需满足攻击者能够远程访问目标机器,以此来植入BIOS bootkit,接着攻击者就可以通过硬件来提升权限。

BIOS bootkit工作原理

该病毒的利用方式可以禁用BIOS的防御机制,这可以防止固件重新flash,然后就可以注入并执行恶意代码。

这个BIOS bootkit最强大的地方是,它被注入到了系统管理模式。系统管理模式是一个计算机操作模式,在该模式中所有正常的执行,包括操作系统,都会被中断,而特定独立的软件,包括固件,则会以高权限运行。

研究人员利用系统管理模式以高权限运行它们的BIOS bootkit,并管理目标结构的各种组件,包括内存。研究人员强调,像Tails这种安全发行版也能够被成功植入。至于BIOS bootkit的危害性,它可以窃取敏感数据,以及流行操作系统使用的PGP密钥等。

该bootkit能够在很多厂商的BIOS版本上工作,根据专家所说,BIOS bootkit在UEFI(统一可扩展固件接口)下同样有效,而UEFI被认为是BIOS改进的下一代版本。

[参考来源securityaffairs,有适当修改,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

原创文章,作者:stanley,如若转载,请注明出处:http://www.178linux.com/1360

(1)
stanleystanley
上一篇 2015-03-23
下一篇 2015-03-23

相关推荐

  • 希望自己能够转型成功

           时间总是在不经意间溜走,恍惚间已在通信行业以一名通信厂商数通工程师的身份混了近7年时间,看到总总自身现状的不足,突然间感觉到没有明确人生目标的生活是多少可怕。痛定思痛,最终决定寻求新的职业发展方向—-Linux运维。     &nbs…

    Linux资讯 2016-10-19
  • Linux基于PXE实现系统全自动无人值守安装

    前言 在生产环境中,我们时常会需要在多台客户端主机或服务器安装操作系统,如果每一台都去手动安装,费时费力,显然是不现实的。那么,如何高效的完成此类工作呢?文将讲解如何实现Linux系统的全自动无人值守安装。 提供PXE服务所需安装包 dhcp:动态主机配置协议,给客户端提供ip地址 tftp-server:tftp服务器端,提供系统安装所需文件 xinetd…

    Linux干货 2015-04-01
  • sed的基本用法详解

    在Linux的世界中,有着一个文本三剑客的称呼,它们分别代表grep(文本过滤),sed(流编辑器),awk(gawk)(报告生成器)。 它们是强大的文本处理工具,了解并掌握它们,可以让你对文本的处理更加从容和轻松。 今天我们主要是围绕sed来进行分析。 一、初识sed sed:Stream Editor 从名字上也可以直观的了解到它是一个流编辑工具。何为流…

    Linux干货 2015-06-08
  • 【福利贴-招聘】- 高级运维工程师

    职位描述 岗位描述:1、负责业务应用系统的审核、部署、发布、监控、维护和优化;2、负责突发事件管理,问题跟踪与管理,保障系统24×7稳定运行;3、负责应用系统的性能分析与系统优化,不断提高系统运行效率;4、协调开发部门,配置管理,基础运维,更好提供服务。 职位要求:1、专科及以上学历,计算机或相关专业;2、能够独立安装配置及维护linux平台的各种服务,dh…

    Linux干货 2015-03-20
  • linux系统中修改提示符

    当你登录linux系统后,如果你是普通用户系统会显示命令行提示符$ 提醒用户输入命令,如果你是与管理员身份登录系统,提示符则是#     而提示符前面[]则是提醒用户的一些信息,liu 或 root 是登录的用户名,localhost 是主机名的简称,~ 是当前工作目录的基名,其实还有一些其他的提示信息我们也可以定义,也可以自定义字体的颜…

    Linux资讯 2017-02-16
  • Linux系统用户与组管理命令及配置文件总结

    一、Linux系统用户及组分类 1、用户类别 Linux系统中的用户大致可分为三类:root用户、系统用户、普通用户。每一个用户都拥有一个唯一的身份标识UID。 2、组分类 与用户信息对应的,Linux系统中的组也可分为三类:root组、系统组、普通组。每一个组也有一个对应的唯一标识GID。 需要说明的是,UID和GID为0的用户对应的就是固定的root,即…

    Linux干货 2016-10-23