rootkit

上个月在德国汉堡举行的第31届”Chaos Computer Club Conference”上，提及了首次被公开的OS X固件bootkit类病毒。 安全人员Trammell Hudson编写了这一攻击并将其命名为Thunderstrike。它利用了深藏在苹果OS X系统核心内的漏洞。事实上，该漏洞是该操作系统的一部分。据报道，Hudson随即联系了苹果公司并一起解决了除苹果笔记本电脑以外所有受到影响的设备。 毫无疑问，Thunderstrike像所有boot-和rootkit类病毒一样，是一种能够控制你在计算机上所有行为的严重威胁。你可以将它想象成是计算机界的埃博拉病毒：通过传染病毒产生毁灭性的后果，但受感染的可能性相对较低。 bootkit作为一种rootkit类恶意软件，存在于计算机操作系统内的引导进程内，通过发出各种命令从而完全控制受感染计算机。它们在操作系统载入之前感染主引导记录并在计算机启动时运行。即使你删除操作系统，bootkit依然存在。因此bootkit难以被发现和移除，只有使用高级的反病毒产品才能将它们彻底清除。 Thunderstrike作为针对OS X系统设备的bootkit类恶意软件，可通过直接硬盘访问或连接雷电接口进行安装。作为第一种情况，通过直接硬盘访问进行感染可能性不大。无论是厂商出厂安装固件或网络攻击者将你的苹果笔记本电脑拆开并手动将其安装到硬盘上，可能性都不大。 #Thunderstrike#作为针对#苹果电脑##bootkit#类恶意软件，只能通过直接硬盘访问或#雷电#接口线进行传播 然而第二种载体，即通过雷电连接进行感染的可行性相对更高一些。事实上，我们专门将此类攻击称之为”evil maid”攻击或”政府资助攻击”，通常在机场或过境时对笔记本电脑进行检查甚至没收时植入。当然当你不在自己计算机旁的时候这一方法同样奏效。 正如”埃博拉病毒”需要直接接触体液才能传播一样，只有当有人将你的计算机拆开或将外围设备通过雷电接口接入并安装恶意固件后，才会感染Thunderstrike恶意软件。 由于该病毒掌控了签名密钥和更新程序，因此无法通过软件进行移除。重装OS X系统也根本无济于事。同样更换固态硬盘也无法清除，因为它根本就没有保存在硬盘上。 其它恶意软件的破坏力相对较弱，但传输速度更快。打个比方，感冒通过空气传播且对公众的危险程度远高于”埃博拉病毒”，尽管事实上感冒并不会致命。 同样的，旨在占用计算机处理能力进而形成僵尸网络的恶意软件所引起的恐慌程度并不如Thunderstrike，但只是因为此类恶意软件能够通过网页注入、恶意电邮、隐蔽强迫下载或其它许多载体远程感染计算机，且对公众的危害性更大。 “鉴于它是OS X系统中出现的首个固件bootkit类病毒，因此目前根本扫描不出来。” Hudson说道。”它通过各种优先指令控制系统，使其记录包括磁盘加密密钥在内的键盘按键，还能在OS X系统内核中植入后门以及绕过固件密码。由于该病毒掌控了签名密钥和更新程序，因此无法通过软件进行移除。重装OS X系统也根本无济于事。同样更换固态硬盘也无法清除，因为它根本就没有保存在硬盘上。 要保护计算机免受Thunderstrike攻击的最好方式是确保当自己不在的时候没有人能访问你的苹果笔记本电脑。换句话说，如果你能小心提防窃贼的话，就能有效防范。 在此期间，你可以听些AC/DC乐队的歌放松一下：