33 views

Rootkit技术 4 – Firmware和Hardware级别Rootkit

 

image

Firemware Rootkit

Firmware指计算机系统中的闪存或者可擦写ROM,用于保存一些不常变动的嵌入式驱动软件。典型的代表就是PC BIOS,Rootkit藏身其中就成了Firmware Rootkit,典型代表也是BIOS Rootkit。

BIOS是CPU加电后,系统启动的第一步,它主要是对主板加电,完成硬件自检。然后根据Boot Sequence中设定的启动顺序,将控制权交给下一阶段的启动设备。更多BIOS功能(例如,长按关机键断电)参照这里

从最近很火的Hacking Team资料泄漏事件中,也可以见到BIOS Rootkit的身影(参见【1】)。根据【1】的代码分析,这个BIOS Rootkit的目的是放几个木马文件到Windows自启动项里面。

BIOS Rootkit的安装方式很直接,就是将恶意BIOS刷进去。下面是一些防止被刷的措施

 

1、开启UEFI SecureFlash;
BIOS的Binary必须要被签名过。
2、及时更新BIOS修复安全漏洞;
3、设置BIOS/UEFI密码。

 

BIOS Rootkit的优势是,你没法通过OS查找病毒木马来源,即使意识到有病毒,且重装系统,乃至更换硬盘也无济于事。BIOS会重装木马,除非你意识到BIOS有问题,更新它。

 

除了BIOS,可写入的Fireware还有不少:

这里是一篇有关利用硬盘中只有几K大小的firmware写入Rootkit的介绍。可以任意修改硬盘Cache内容而不被发现。这里是躲藏在Apple的雷电接口中的Fireware Rootkit。

此外,还有网卡、显卡等的Fireware都可能写入。

 

Hardware Rootkit

【2】中提到INTEL Active Management Technology,是构建在Intel主板芯片中的,独立于CPU和BIOS,可以关机时候进行管理,这类的内嵌在芯片组中的管理技术如果被黑客利用也可以作为rootkit的载体。

严格的说,Intel的AMT中的管理代码也应该写在Firmware中。有关Hardware Rootkit,还有一种更彻底的提法,技术上可以将Rootkit设计到硬件电路中。这个是名副其实的Hardwre Rootkit了。它可能确实存在,但估计没有人真的发现过。

 

【参考】

1,Hacking Team:攻击向量之Bios Rootkit, http://www.freebuf.com/articles/system/72713.html

2.Rootkit Wiki,https://en.wikipedia.org/wiki/Rootkit

发表评论

电子邮件地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">