一种强大的新型BIOS Bootkit病毒曝光

一种强大的新型BIOS Bootkit病毒曝光

近日,安全研究人员开发出一种新的BIOS bootkit,它可以窃取敏感数据,以及流行操作系统使用的PGP密钥。包括华硕、惠普、宏基、技嘉以及微星等在内的各大供应商的主板都受到该病毒影响。

BIOS bootkits是真实存在的。斯诺登在披露NSA ANT部门使用的监视工具集时,曾提到过BIOS bootkits。这些恶意软件能够入侵受害机器的BIOS,以此确保隐藏的持久性以及实现复杂的逃避技术。即使重装操作系统,BIOS bootkits仍然能够存留。

FreeBuf科普:BIOS

BIOS是英文”Basic Input Output System”的缩略词,直译过来后中文名称就是”基本输入输出系统”。其实,它是一组固化到计算机内主板上一个ROM芯片上的程序,它保存着计算机最重要的基本输入输出的程序、系统设置信息、开机后自检程序和系统自启动程序。 其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。

新型BIOS bootkit介绍

最近,卡巴斯基实验室的专家们发现,黑客组织方程式发起的一场复杂的APT(高级持续性威胁),使用了BIOS bootkits来入侵目标机器。考虑到这种恶意植入的复杂性,很多安全专家推测这次攻击与NSA有直接关系。

NSA和方程式(攻击同时使用了EquationDrug和GrayFish平台)都利用了模块NLS_933W.DLL,而该模块被主要的供应商广泛使用。NLS_933W.DLL中包含了一个能够隐藏恶意软件的驱动程序,而由攻击者开发的驱动程序允许在内核级别与硬盘进行交互,卡巴斯基的专家们解释说。

卡巴斯基实验室的首席安全研究员Vitaly Kamluk说:

“即使它使用了特定序列的ATA命令来与硬盘交互,但并不是因为代码复杂,其实最复杂的是重新设定固件本身。为了掌握如何写固件,我们需要花费几年的时间去学习。这是更高层次的持久性攻击,这是我们第一次从高级攻击者那里见到的这么高复杂度的攻击技术。”

今天,在温哥华的CanSecWest会议上,研究人员Corey Kallenberg和Xeno Kovah,即LegbaCore的创始人,将展示他们对一套新的BIOS漏洞的研究情况,以及对BIOS rootkits的开发成果。

他们发现了一种绕过BIOS防护机制的新方法,而且这项研究中最有趣的部分是,他们已经定义了一种方法来实现漏洞发现的自动化实现。

一种强大的新型BIOS Bootkit病毒曝光

这种攻击在特定条件下是可行的,只需满足攻击者能够远程访问目标机器,以此来植入BIOS bootkit,接着攻击者就可以通过硬件来提升权限。

BIOS bootkit工作原理

该病毒的利用方式可以禁用BIOS的防御机制,这可以防止固件重新flash,然后就可以注入并执行恶意代码。

这个BIOS bootkit最强大的地方是,它被注入到了系统管理模式。系统管理模式是一个计算机操作模式,在该模式中所有正常的执行,包括操作系统,都会被中断,而特定独立的软件,包括固件,则会以高权限运行。

研究人员利用系统管理模式以高权限运行它们的BIOS bootkit,并管理目标结构的各种组件,包括内存。研究人员强调,像Tails这种安全发行版也能够被成功植入。至于BIOS bootkit的危害性,它可以窃取敏感数据,以及流行操作系统使用的PGP密钥等。

该bootkit能够在很多厂商的BIOS版本上工作,根据专家所说,BIOS bootkit在UEFI(统一可扩展固件接口)下同样有效,而UEFI被认为是BIOS改进的下一代版本。

[参考来源securityaffairs,有适当修改,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

原创文章,作者:stanley,如若转载,请注明出处:http://www.178linux.com/1360

(1)
上一篇 2015-03-23 12:14
下一篇 2015-03-23 15:59

相关推荐

  • 堡垒机-麒麟堡垒机动态口令使用手册

      一.管理员部分 1.在其它-licenses菜单查看动态口令许可是否打开,如果未打开联系厂商重新生成许可   2.找厂商生成密钥文件,密钥文件中包含令牌种子,在其它–动态令牌菜单将密钥文件导入即可看到所有的令牌种子,每个令牌可以绑定给多个用户     3.令牌绑定可以在 资源管理–…

    安全运维 2016-05-29
  • CentOS系统启动流程

    Linux系统(Centos 5、6)启动流程 一、POST加电自检 Power-On-Self-Test 按下电源键以后,系统调用存储在ROM中的BIOS和存储在RAM中的CMOS(用来保存各项参数的设定)完成系统硬件状态的检查,如果硬件有问题则提示用户问题严重无法开机的会发出警报声音;硬件自检完成后进入下一步。 二、Boot Sequence与…

    Linux干货 2016-11-24
  • 程序员小抄大全

    你是否会经常忘记一些CSS中的函数名或是一些属性名,那个时候,你一定觉得,如果手边有一个“小抄”(Cheat Sheet)就好了。当然,这个“小抄”不是给你作弊用的,这个“小纸条”就是可以让你马上知道那个你最想知道的东西。这个“小抄”上也不需要有所有的东西,就需要那些经常用的就行了。现在,网上有很多这样的“小抄”,它们可能是PDF格式的,可能是PNG格式的,…

    Linux干货 2015-04-03
  • Openssl加密解密原理+CA自建实现

     Openssl加密解密原理+CA自建实现     前言 互联网的惊人发展使企业和消费者都感到非常兴奋,它正改变着我们的生活和工作方式。但是,互联网的安全程度如何——尤其是在通过它发送机密信息时的安全性——已经成为人们关心的主要问题。随着时代的发展,加密原理也不断地在更新换代. 数据的加密目前已广泛地运用于战争,商业活…

    Linux干货 2015-05-25
  • 学习新技术的10个建议

    我们生活在一个振奋人心的时代。我们可以越来越方便廉价地获得大量学习资源。这些资源的传播载体由最初的教室被变成了博客,技术论坛等。坐拥如此众多的学习资源,我们没有任何理由不去好好利用。随之而来的问题便是如何在这知识的海洋中选择自己的前进方向。在这篇文章中,我将简要概括一些技术学习的建议,希望可以给你带来一些启发。 尽管我的建议主要涉及的是软件开发方面,但是这些…

    Linux干货 2015-03-20
  • 携程全站瘫痪引发的思考

       为今年5月冠上多事之夏的名头已是无可厚非的一件事,自支付宝光纤被挖断后,携程又暴出全站瘫痪的风波,从5/28 11:00开始,直到晚上11:29分才全面恢复.互联网也是谣言四起,纷纷猜测百度腾讯谁会是下一个灾难的受害者。暂切抛开这些玩笑言论,就携程本次事情引发的思考太多,前车之鉴后事之师,如果携程的事情发生到我们身上,我们该怎么办,…

    Linux干货 2015-06-03