超強(qiáng)BIOS病毒成APT攻擊入侵先頭兵
發(fā)布時(shí)間:2015-03-24近日,安全研究人員開(kāi)發(fā)出一種新的BIOS bootkit,它可以竊取敏感數(shù)據(jù),以及流行操作系統(tǒng)使用的PGP密鑰。包括華碩、惠普、宏基、技嘉以及微星等在內(nèi)的各大供應(yīng)商的主板都受到該病毒影響。
BIOS bootkits是真實(shí)存在的。斯諾登在披露NSA ANT部門(mén)使用的監(jiān)視工具集時(shí),曾提到過(guò)BIOS bootkits。這些惡意軟件能夠入侵受害機(jī)器的BIOS,以此確保隱藏的持久性以及實(shí)現(xiàn)復(fù)雜的逃避技術(shù)。即使重裝操作系統(tǒng),BIOS bootkits仍然能夠存留。
BIOS
BIOS是英文"Basic Input Output System"的縮略詞,直譯過(guò)來(lái)后中文名稱就是"基本輸入輸出系統(tǒng)"。其實(shí),它是一組固化到計(jì)算機(jī)內(nèi)主板上一個(gè)ROM芯片上的程序,它保存著計(jì)算機(jī)最重要的基本輸入輸出的程序、系統(tǒng)設(shè)置信息、開(kāi)機(jī)后自檢程序和系統(tǒng)自啟動(dòng)程序。 其主要功能是為計(jì)算機(jī)提供最底層的、最直接的硬件設(shè)置和控制。
新型BIOS bootkit介紹
最近,卡巴斯基實(shí)驗(yàn)室的專家們發(fā)現(xiàn),黑客組織方程式發(fā)起的一場(chǎng)復(fù)雜的APT(高級(jí)持續(xù)性威脅),使用了BIOS bootkits來(lái)入侵目標(biāo)機(jī)器。考慮到這種惡意植入的復(fù)雜性,很多安全專家推測(cè)這次攻擊與NSA有直接關(guān)系。
NSA和方程式(攻擊同時(shí)使用了EquationDrug和GrayFish平臺(tái))都利用了模塊NLS_933W.DLL,而該模塊被主要的供應(yīng)商廣泛使用。NLS_933W.DLL中包含了一個(gè)能夠隱藏惡意軟件的驅(qū)動(dòng)程序,而由攻擊者開(kāi)發(fā)的驅(qū)動(dòng)程序允許在內(nèi)核級(jí)別與硬盤(pán)進(jìn)行交互,卡巴斯基的專家們解釋說(shuō)。
卡巴斯基實(shí)驗(yàn)室的首席安全研究員Vitaly Kamluk說(shuō):“即使它使用了特定序列的ATA命令來(lái)與硬盤(pán)交互,但并不是因?yàn)榇a復(fù)雜,其實(shí)最復(fù)雜的是重新設(shè)定固件本身。為了掌握如何寫(xiě)固件,我們需要花費(fèi)幾年的時(shí)間去學(xué)習(xí)。這是更高層次的持久性攻擊,這是我們第一次從高級(jí)攻擊者那里見(jiàn)到的這么高復(fù)雜度的攻擊技術(shù)。”
今天,在溫哥華的CanSecWest會(huì)議上,研究人員Corey Kallenberg和Xeno Kovah,即LegbaCore的創(chuàng)始人,將展示他們對(duì)一套新的BIOS漏洞的研究情況,以及對(duì)BIOS rootkits的開(kāi)發(fā)成果。
他們發(fā)現(xiàn)了一種繞過(guò)BIOS防護(hù)機(jī)制的新方法,而且這項(xiàng)研究中最有趣的部分是,他們已經(jīng)定義了一種方法來(lái)實(shí)現(xiàn)漏洞發(fā)現(xiàn)的自動(dòng)化實(shí)現(xiàn)。
這種攻擊在特定條件下是可行的,只需滿足攻擊者能夠遠(yuǎn)程訪問(wèn)目標(biāo)機(jī)器,以此來(lái)植入BIOS bootkit,接著攻擊者就可以通過(guò)硬件來(lái)提升權(quán)限。
BIOS bootkit工作原理
該病毒的利用方式可以禁用BIOS的防御機(jī)制,這可以防止固件重新flash,然后就可以注入并執(zhí)行惡意代碼。
這個(gè)BIOS bootkit最強(qiáng)大的地方是,它被注入到了系統(tǒng)管理模式。系統(tǒng)管理模式是一個(gè)計(jì)算機(jī)操作模式,在該模式中所有正常的執(zhí)行,包括操作系統(tǒng),都會(huì)被中斷,而特定獨(dú)立的軟件,包括固件,則會(huì)以高權(quán)限運(yùn)行。
研究人員利用系統(tǒng)管理模式以高權(quán)限運(yùn)行它們的BIOS bootkit,并管理目標(biāo)結(jié)構(gòu)的各種組件,包括內(nèi)存。研究人員強(qiáng)調(diào),像Tails這種安全發(fā)行版也能夠被成功植入。至于BIOS bootkit的危害性,它可以竊取敏感數(shù)據(jù),以及流行操作系統(tǒng)使用的PGP密鑰等。
該bootkit能夠在很多廠商的BIOS版本上工作,根據(jù)專家所說(shuō),BIOS bootkit在UEFI(統(tǒng)一可擴(kuò)展固件接口)下同樣有效,而UEFI被認(rèn)為是BIOS改進(jìn)的下一代版本。