首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Hacking Team:攻击向量之Bios Rootkit

Hacking Team:攻击向量之Bios Rootkit

作者头像
FB客服
发布2018-02-06 14:39:51
1.9K0
发布2018-02-06 14:39:51
举报
文章被收录于专栏:FreeBufFreeBuf

攻击向量(attack vector)指的是黑客用来攻击计算机或者网络服务器的一种手段,攻击向量能够帮助黑客寻找系统可能存在的任何漏洞,包括人为因素,攻击向量简单理解就是网络渗透攻击的各种维度,如通过病毒,电子邮件,网页,聊天室等配合社工欺骗方法来完成。

从泄露代码来看,Hacking Team有自己完善一套攻击向量,有许多维度,如Bios Rootkit攻击,ipa攻击,java applet挂马,假文档图标欺骗,短信欺骗,光盘或U盘存储介质攻击。技术与非技术完美配合,来实现RCS远程控制功能。

以下从Bios Rootkit攻击向量进行分析。

一、攻击场景

想像类似著名电影《碟中谍》的场景。XX黑客组织为了入侵A机构的网络系统,决定派遣一个卧底(wd)进入A机构。突破重重困难,最终wd以一名记者身份得以采访A机构领导,进入了领导的办公室,谈笑间,领导离开一会儿,wd立即警惕起来,盯紧领导的办公桌的电脑,连忙掏出U盘,开机,进入bios,种下Bios Rootkit后门病毒,熟练连贯的操作。三分钟的时间,神不知鬼不觉的,A机构网络系统已经被从内部打开了一个缺口,而且是一个检测极困难的后门……

场景像拍电影,有点夸张。实际上并不能排除可能性,Bios Rootkit通过物理的接触,如通过U盘,进行感染。 这样的场景可以延伸出来,或发生在电脑维修店、二手电脑、网吧、学校电脑室等。

Bios Rootkit是比较高水平的技术,检测很困难。在泄露的源码中,因此更多的人可以从这基础上衍生更多的Bios Rootkit病毒,降低了技术门槛。

二、Bios Rootkit感染方式

HT内部泄露文档介绍,Bios Rootkit是通过U盘,进入UEFI Shell进行感染。要求目标系统cup Intel i3/i5/i7(2,3,4代),bios uefi。

Bios Rootkit的感染方式,决定传播广度有限,但从网络渗透来说,绝对是一个可靠的突破口。目前还没资料证明Bios Rootkit其它感染方式,但并不能排除可能性。

泄露的文档资料:

三、示意图

Bios Rootkit有三个模块:rkloader.mod,dropper.mod和ntfs.mod,攻击示意图如下:

在攻击时,插入U盘,进行UEFI Shell,Startup.nsh引导启动chipsec.efi,然后chipsec.efi把三个.mod模块写到Bios ROM上去,重启电脑时,Bios Rootkit就开始干活了。

四、Bios Rootkit分析

1、UEFI结构

UEFI使用了模块化设计,类似windows操作系统,UEFI Image(UEFI实体)有EFI Driver(驱动),EFI Application(应用程序),os Loader(操作系统引导程序),如下图。

EFI Driver和EFI Application是FFS结构,安装UDK(UEFI开发包),使用C语言,遵循接口,就可以开发EFI程序。

EFI程序开发必须要有.inf定义文件,定义应用名,guid,程序类型(应用或驱动),入口点,源码文件,依赖库等,其中GUID是模块的标识,bios系统是以GUID来标识程序。

<详细技术报告请点击最下方“阅读原文”>

五、防御与检测

防御:

1、开启UEFI SecureFlash;

2、及时更新BIOS修复安全漏洞;

3、设置BIOS/UEFI密码。

检测:

1、进行操作系统安全模式,查看系统自启动目录是否有可疑程序,如scout.exe,soilder.exe;

2、借助工具dump下uefi bios,查看是否有可疑模块。

*作者:腾讯电脑管家,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2015-07-19,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
数据库
云数据库为企业提供了完善的关系型数据库、非关系型数据库、分析型数据库和数据库生态工具。您可以通过产品选择和组合搭建,轻松实现高可靠、高可用性、高性能等数据库需求。云数据库服务也可大幅减少您的运维工作量,更专注于业务发展,让企业一站式享受数据上云及分布式架构的技术红利!
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档