bootkit

网络不法分子们利用的高级恶意框架中包含一些从Hacking Team泄露的工具。

我们习惯于将IT安全概念分为两个不平等的类别进行讨论：硬件和受到高度重视的软件。硬件通常被认为相对安全和干净—而与之相反的是，软件常常遭受bug和恶意软件的危害。 这一评估体系已存在很长一段时间，但最近却显示出改变的迹象。负责管理各独立硬件部件的特定固件也变得愈加复杂起来，因此其漏洞更容易被利用。最糟糕的是，很多情况下现有威胁检测系统根本形同虚设。 为了进一步了解这一危险趋势，下面我们将介绍在如今PC电脑内近期所发现的5个最危险硬件漏洞。 #1. RAM 如果要列一个硬件威胁排行榜，毫无疑问DDR DRAM安全问题将排在首位，而且这个问题无法通过任何软件补丁予以解决。这个漏洞被冠以”Rowhammer”之名，但令人意想不到的是，该漏洞是由硅产业进步所造成的。 由于集成电路的几何结构不断变小，焊接在芯片上的临近硬件元件之间的距离也越来越近，竟然开始互相干扰。在如今的存储芯片内，一旦从临近的单元随机发出电脉冲，可能会导致记忆单元之间的自发性转换。 直到最近，这一现象无法适用于任何现实中通过PoC（概念验证）来利用漏洞（可能有助于网络攻击者获取对受影响PC电脑的控制）的观点才被广泛认可。然而，一支研究人员团队通过使用PoC，设法在总共29台笔记本电脑中的15台提高了系统权限。 这正是PoC的工作方式：为确保安全，只有指定程序或操作系统进程被允许更改RAM内的某个数据区块。简单地说，一些重要的处理功能被允许在”一座受到良好保护的建筑”内进行，而其它非信任的程序则全部被挡在”前门”的外面。 然而，事实证明如果有人门前重重地跺脚（即快速且高频地更改存储单元的内容），则这扇门的锁肯定会损坏。”门锁”如此不可靠的事实也只是最近才了解到的… 而基于更新标准的DDR4以及启用奇偶校验的RAM模块（成本更为昂贵）可抵御此类攻击。这是好消息。但坏消息是，很大一部分的现代PC电脑dom盘在上述提到的黑客攻击下极易受遭受黑客入侵，且没有任何解决方法。唯一可行的解决方案是更换所有RAM模块。 #2. 硬盘 既然我们谈到了RAM，那就不得不再提到硬盘的问题。正巧近期卡巴斯基受委托对Equation网络犯罪小组进行调查研究，我们才能得知硬盘内控制器固件可能含有大量有趣的”古董技术”。 例如，这些包含恶意软件模块的固件会夺取受感染PC电脑和运行的控制权，基本上都在’上帝模式’下进行。一旦遭受此类黑客攻击后，硬盘将遭受无法修复的损失：受到恶意代码感染的控制器固件会隐藏含有恶意软件的扇区，并阻止任何修复固件的尝试。即使格式化也无济于事：清除恶意软件的最可靠方法就是彻底销毁受黑客入侵的硬盘。 好消息是此类网络攻击不仅需要耗费很长时间，也需要支出不菲的成本。因此，绝大多数用户完全可以高枕无忧，无须担心自己的硬盘被黑客入侵。除了那些储存有宝贵数据的硬盘，但过高的攻击成本也让黑客们不得不三思而行。 #3. USB接口 占据我们排名榜第三位的是影响USB接口的漏洞（尽管有点过时但影响依然巨大）。但最近的新闻显示这一长久以来存在的bug似乎已得到修复。如你所知，最新的苹果MacBook和Google Pixel笔记本电脑均配备有万能USB端口，除了传输数据以外还可用于充电。 乍一看下并没有什么问题，最新的USB修正版是一种出色的接口统一方法。然而，通过USB连接任何设备都有可能存在一定的危险性。我们之前曾介绍过BadUSB，是于去年夏天发现的一个重要漏洞。 这一bug能让不法分子将恶意代码植入USB设备控制器（无论是拇指驱动器、键盘还是其它）。任何一款反病毒软件（包括功能最强大的产品）均无法检测出来。那些高度重视数据安全的用户应该听从itsec专家的建议：为了降低风险而不再使用USB端口。而对于最新的MacBook笔记本而言，这一建议毫无用处：因为不管怎么样，笔记本都是需要充电！ 怀疑论者可能会指出通过充电器植入恶意代码根本不可能（因为没有数据存储空间）。但这一’问题’可通过对充电器进行’强化’得以解决（早在两年前，就曾演示过通过充电器将恶意代码植入iPhone手机方法的PoC）。 在将恶意软件植入充电器后，黑客攻击者需要将”含有木马病毒”的充电器放置在公共区域；或在锁定攻击目标后，将原有充电器换成”含有木马病毒”的充电器。 #4. Thunderbolt接口 排名第4的是另一个接口漏洞，将Thunderbolt接口作为攻击目标。不幸的是，通过Thunderbolt连接设备也可能会产生危险。将Mac OS X产品作为攻击目标的单独PoC是于去年年末由安全研究人员Tremmel

上个月在德国汉堡举行的第31届”Chaos Computer Club Conference”上，提及了首次被公开的OS X固件bootkit类病毒。 安全人员Trammell Hudson编写了这一攻击并将其命名为Thunderstrike。它利用了深藏在苹果OS X系统核心内的漏洞。事实上，该漏洞是该操作系统的一部分。据报道，Hudson随即联系了苹果公司并一起解决了除苹果笔记本电脑以外所有受到影响的设备。 毫无疑问，Thunderstrike像所有boot-和rootkit类病毒一样，是一种能够控制你在计算机上所有行为的严重威胁。你可以将它想象成是计算机界的埃博拉病毒：通过传染病毒产生毁灭性的后果，但受感染的可能性相对较低。 bootkit作为一种rootkit类恶意软件，存在于计算机操作系统内的引导进程内，通过发出各种命令从而完全控制受感染计算机。它们在操作系统载入之前感染主引导记录并在计算机启动时运行。即使你删除操作系统，bootkit依然存在。因此bootkit难以被发现和移除，只有使用高级的反病毒产品才能将它们彻底清除。 Thunderstrike作为针对OS X系统设备的bootkit类恶意软件，可通过直接硬盘访问或连接雷电接口进行安装。作为第一种情况，通过直接硬盘访问进行感染可能性不大。无论是厂商出厂安装固件或网络攻击者将你的苹果笔记本电脑拆开并手动将其安装到硬盘上，可能性都不大。 #Thunderstrike#作为针对#苹果电脑##bootkit#类恶意软件，只能通过直接硬盘访问或#雷电#接口线进行传播 然而第二种载体，即通过雷电连接进行感染的可行性相对更高一些。事实上，我们专门将此类攻击称之为”evil maid”攻击或”政府资助攻击”，通常在机场或过境时对笔记本电脑进行检查甚至没收时植入。当然当你不在自己计算机旁的时候这一方法同样奏效。 正如”埃博拉病毒”需要直接接触体液才能传播一样，只有当有人将你的计算机拆开或将外围设备通过雷电接口接入并安装恶意固件后，才会感染Thunderstrike恶意软件。 由于该病毒掌控了签名密钥和更新程序，因此无法通过软件进行移除。重装OS X系统也根本无济于事。同样更换固态硬盘也无法清除，因为它根本就没有保存在硬盘上。 其它恶意软件的破坏力相对较弱，但传输速度更快。打个比方，感冒通过空气传播且对公众的危险程度远高于”埃博拉病毒”，尽管事实上感冒并不会致命。 同样的，旨在占用计算机处理能力进而形成僵尸网络的恶意软件所引起的恐慌程度并不如Thunderstrike，但只是因为此类恶意软件能够通过网页注入、恶意电邮、隐蔽强迫下载或其它许多载体远程感染计算机，且对公众的危害性更大。 “鉴于它是OS X系统中出现的首个固件bootkit类病毒，因此目前根本扫描不出来。” Hudson说道。”它通过各种优先指令控制系统，使其记录包括磁盘加密密钥在内的键盘按键，还能在OS X系统内核中植入后门以及绕过固件密码。由于该病毒掌控了签名密钥和更新程序，因此无法通过软件进行移除。重装OS X系统也根本无济于事。同样更换固态硬盘也无法清除，因为它根本就没有保存在硬盘上。 要保护计算机免受Thunderstrike攻击的最好方式是确保当自己不在的时候没有人能访问你的苹果笔记本电脑。换句话说，如果你能小心提防窃贼的话，就能有效防范。 在此期间，你可以听些AC/DC乐队的歌放松一下：