一种强大的新型BIOS Bootkit病毒曝光

一种强大的新型BIOS Bootkit病毒曝光

近日,安全研究人员开发出一种新的BIOS bootkit,它可以窃取敏感数据,以及流行操作系统使用的PGP密钥。包括华硕、惠普、宏基、技嘉以及微星等在内的各大供应商的主板都受到该病毒影响。

BIOS bootkits是真实存在的。斯诺登在披露NSA ANT部门使用的监视工具集时,曾提到过BIOS bootkits。这些恶意软件能够入侵受害机器的BIOS,以此确保隐藏的持久性以及实现复杂的逃避技术。即使重装操作系统,BIOS bootkits仍然能够存留。

FreeBuf科普:BIOS

BIOS是英文”Basic Input Output System”的缩略词,直译过来后中文名称就是”基本输入输出系统”。其实,它是一组固化到计算机内主板上一个ROM芯片上的程序,它保存着计算机最重要的基本输入输出的程序、系统设置信息、开机后自检程序和系统自启动程序。 其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。

新型BIOS bootkit介绍

最近,卡巴斯基实验室的专家们发现,黑客组织方程式发起的一场复杂的APT(高级持续性威胁),使用了BIOS bootkits来入侵目标机器。考虑到这种恶意植入的复杂性,很多安全专家推测这次攻击与NSA有直接关系。

NSA和方程式(攻击同时使用了EquationDrug和GrayFish平台)都利用了模块NLS_933W.DLL,而该模块被主要的供应商广泛使用。NLS_933W.DLL中包含了一个能够隐藏恶意软件的驱动程序,而由攻击者开发的驱动程序允许在内核级别与硬盘进行交互,卡巴斯基的专家们解释说。

卡巴斯基实验室的首席安全研究员Vitaly Kamluk说:

“即使它使用了特定序列的ATA命令来与硬盘交互,但并不是因为代码复杂,其实最复杂的是重新设定固件本身。为了掌握如何写固件,我们需要花费几年的时间去学习。这是更高层次的持久性攻击,这是我们第一次从高级攻击者那里见到的这么高复杂度的攻击技术。”

今天,在温哥华的CanSecWest会议上,研究人员Corey Kallenberg和Xeno Kovah,即LegbaCore的创始人,将展示他们对一套新的BIOS漏洞的研究情况,以及对BIOS rootkits的开发成果。

他们发现了一种绕过BIOS防护机制的新方法,而且这项研究中最有趣的部分是,他们已经定义了一种方法来实现漏洞发现的自动化实现。

一种强大的新型BIOS Bootkit病毒曝光

这种攻击在特定条件下是可行的,只需满足攻击者能够远程访问目标机器,以此来植入BIOS bootkit,接着攻击者就可以通过硬件来提升权限。

BIOS bootkit工作原理

该病毒的利用方式可以禁用BIOS的防御机制,这可以防止固件重新flash,然后就可以注入并执行恶意代码。

这个BIOS bootkit最强大的地方是,它被注入到了系统管理模式。系统管理模式是一个计算机操作模式,在该模式中所有正常的执行,包括操作系统,都会被中断,而特定独立的软件,包括固件,则会以高权限运行。

研究人员利用系统管理模式以高权限运行它们的BIOS bootkit,并管理目标结构的各种组件,包括内存。研究人员强调,像Tails这种安全发行版也能够被成功植入。至于BIOS bootkit的危害性,它可以窃取敏感数据,以及流行操作系统使用的PGP密钥等。

该bootkit能够在很多厂商的BIOS版本上工作,根据专家所说,BIOS bootkit在UEFI(统一可扩展固件接口)下同样有效,而UEFI被认为是BIOS改进的下一代版本。

[参考来源securityaffairs,有适当修改,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

原创文章,作者:stanley,如若转载,请注明出处:http://www.178linux.com/1360

(1)
上一篇 2015-03-23 12:14
下一篇 2015-03-23 15:59

相关推荐

  • ntp时间服务器搭建实例

    ntp时间服务器采用stratum分级架构来处理时间同步;举例说明:你搭建了一台ntp服务器,然后同步的server为stratum-1,你的ntp则为stratum-2,你的下级ntp则为tratum-3。依此类推,最多为15层。 1.ntp server安装: [root@localhost ~]# yum -y …

    Linux干货 2015-11-10
  • 178linux博客写作技巧

    为什么要写博客 为什么要写在178linux上 如何注册178linux 178linux的文章提审规则 178linux写文章的技巧 markdown 语法 为什么要写博客 写博客的好处不言而喻,也不做过多解释,眼过千遍不如手过一遍。知识的吸收需要很长的过程,这个过程越艰难越我们对知识的吸收程度也越好。对于找工作也有好处,侧面是自己工作能力的证明,大量学员…

    Linux干货 2016-09-06
  • 计算机编程简史图

       这个图片太经典了,本来想翻译的,后来觉得这么经典的图片可能早已被人翻译了,简单的Google一下,果然有人翻译了。那我就把英文版和中文版都转过来吧。我们可以看到,其中很大一部分人都和Unix有着不解之缘(参见《Unix传奇上篇,Unix传奇下篇》) 英文原版 中文翻译版 什么也不说了,直接上图(图片比较大,单击图片看大图) 计算机编…

    Linux干货 2015-04-02
  • 上海2016全球运维大会 美女辣妹吸引眼球!

    国内第一个运维行业大会 GOPS 2016全球运维大会(上海站)在2016年9月23-24日在上海雅悦新天地大酒店举办,面向IT及传统行业、广大运维技术人员,传播先进技术思想和理念,分享业内最佳实践。 参会两日,虽然大会主角是运维技术交流学习,不过却意料之外的邂逅了另一道靓丽的风景,瞬间燃了… 在会场,站立着一群高挑美女,我的…

    2016-12-05
  • 恐怖的C++语言

    Linus曾经(2007年9月)在新闻组gmane.comp.version-control.git里和一个微软的工程师(Dmitry Kakurin)争执过用C还是用C++,当时的那个微软的工程师主要是在做Git的Windows版,但他却发现Git的源码居然是C语言写的,而不是C++,于是他(Dmitry Kakurin)在Linux社区里发贴表示对Lin…

    Linux干货 2015-04-03
  • 浅谈群红包的实现

    前言:红包是支付的方式, 也是社交的延伸。群红包在这两块领域串联得很好, 表现尤为的浓墨重彩. 承接上两篇技术浅谈:1). 浅谈接龙红包的技术实现.2). 浅谈微信红包摇一摇的技术实现.这一次, 让我们谈谈群红包的技术实现. 一为是红包的分配算法, 二为竞抢的技术实现. 分配算法:最初玩群红包的时候, 并没有意识到分配算法的难度…

    Linux干货 2015-03-10