超强bios病毒成apt攻击入侵先头兵 -凯发app

超强bios病毒成apt攻击入侵先头兵

近日，安全研究人员开发出一种新的bios bootkit，它可以窃取敏感数据，以及流行操作系统使用的pgp密钥。包括华硕、惠普、宏基、技嘉以及微星等在内的各大供应商的主板都受到该病毒影响。

bios bootkits是真实存在的。斯诺登在披露nsa ant部门使用的监视工具集时，曾提到过bios bootkits。这些恶意软件能够入侵受害机器的bios，以此确保隐藏的持久性以及实现复杂的逃避技术。即使重装操作系统，bios bootkits仍然能够存留。

bios

bios是英文"basic input output system"的缩略词，直译过来后中文名称就是"基本输入输出系统"。其实，它是一组固化到计算机内主板上一个rom芯片上的程序，它保存着计算机最重要的基本输入输出的程序、系统设置信息、开机后自检程序和系统自启动程序。 其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。

新型bios bootkit介绍

最近，卡巴斯基实验室的专家们发现，黑客组织方程式发起的一场复杂的apt（高级持续性威胁），使用了bios bootkits来入侵目标机器。考虑到这种恶意植入的复杂性，很多安全专家推测这次攻击与nsa有直接关系。

nsa和方程式（攻击同时使用了equationdrug和grayfish平台）都利用了模块nls_933w.dll，而该模块被主要的供应商广泛使用。nls_933w.dll中包含了一个能够隐藏恶意软件的驱动程序，而由攻击者开发的驱动程序允许在内核级别与硬盘进行交互，卡巴斯基的专家们解释说。

卡巴斯基实验室的首席安全研究员vitaly kamluk说：“即使它使用了特定序列的ata命令来与硬盘交互，但并不是因为代码复杂，其实最复杂的是重新设定固件本身。为了掌握如何写固件，我们需要花费几年的时间去学习。这是更高层次的持久性攻击，这是我们第一次从高级攻击者那里见到的这么高复杂度的攻击技术。”

今天，在温哥华的cansecwest会议上，研究人员corey kallenberg和xeno kovah，即legbacore的创始人，将展示他们对一套新的bios漏洞的研究情况，以及对bios rootkits的开发成果。

他们发现了一种绕过bios防护机制的新方法，而且这项研究中最有趣的部分是，他们已经定义了一种方法来实现漏洞发现的自动化实现。

这种攻击在特定条件下是可行的，只需满足攻击者能够远程访问目标机器，以此来植入bios bootkit，接着攻击者就可以通过硬件来提升权限。

bios bootkit工作原理

该病毒的利用方式可以禁用bios的防御机制，这可以防止固件重新flash，然后就可以注入并执行恶意代码。

这个bios bootkit最强大的地方是，它被注入到了系统管理模式。系统管理模式是一个计算机操作模式，在该模式中所有正常的执行，包括操作系统，都会被中断，而特定独立的软件，包括固件，则会以高权限运行。

研究人员利用系统管理模式以高权限运行它们的bios bootkit，并管理目标结构的各种组件，包括内存。研究人员强调，像tails这种安全发行版也能够被成功植入。至于bios bootkit的危害性，它可以窃取敏感数据，以及流行操作系统使用的pgp密钥等。

该bootkit能够在很多厂商的bios版本上工作，根据专家所说，bios bootkit在uefi（统一可扩展固件接口）下同样有效，而uefi被认为是bios改进的下一代版本。