Hacking Team:攻击向量之Bios Rootkit

攻击向量(attack vector)指的是黑客用来攻击计算机或者网络服务器的一种手段,攻击向量能够帮助黑客寻找系统可能存在的任何漏洞,包括人为因素,攻击向量简单理解就是网络渗透攻击的各种维度,如通过病毒,电子邮件,网页,聊天室等配合社工欺骗方法来完成。

从泄露代码来看,Hacking Team有自己完善一套攻击向量,有许多维度,如Bios Rootkit攻击,ipa攻击,java applet挂马,假文档图标欺骗,短信欺骗,光盘或U盘存储介质攻击。技术与非技术完美配合,来实现RCS远程控制功能。

以下从Bios Rootkit攻击向量进行分析。

一、攻击场景

想像类似著名电影《碟中谍》的场景。XX黑客组织为了入侵A机构的网络系统,决定派遣一个卧底(wd)进入A机构。突破重重困难,最终wd以一名记者身份得以采访A机构领导,进入了领导的办公室,谈笑间,领导离开一会儿,wd立即警惕起来,盯紧领导的办公桌的电脑,连忙掏出U盘,开机,进入bios,种下Bios Rootkit后门病毒,熟练连贯的操作。三分钟的时间,神不知鬼不觉的,A机构网络系统已经被从内部打开了一个缺口,而且是一个检测极困难的后门……

场景像拍电影,有点夸张。实际上并不能排除可能性,Bios Rootkit通过物理的接触,如通过U盘,进行感染。 这样的场景可以延伸出来,或发生在电脑维修店、二手电脑、网吧、学校电脑室等。

Bios Rootkit是比较高水平的技术,检测很困难。在泄露的源码中,因此更多的人可以从这基础上衍生更多的Bios Rootkit病毒,降低了技术门槛。

二、Bios Rootkit感染方式

HT内部泄露文档介绍,Bios Rootkit是通过U盘,进入UEFI Shell进行感染。要求目标系统cup Intel i3/i5/i7(2,3,4代),bios uefi。

Bios Rootkit的感染方式,决定传播广度有限,但从网络渗透来说,绝对是一个可靠的突破口。目前还没资料证明Bios Rootkit其它感染方式,但并不能排除可能性。

泄露的文档资料:

三、示意图

Bios Rootkit有三个模块:rkloader.mod,dropper.mod和ntfs.mod,攻击示意图如下:

在攻击时,插入U盘,进行UEFI Shell,Startup.nsh引导启动chipsec.efi,然后chipsec.efi把三个.mod模块写到Bios ROM上去,重启电脑时,Bios Rootkit就开始干活了。

四、Bios Rootkit分析

1、UEFI结构

UEFI使用了模块化设计,类似windows操作系统,UEFI Image(UEFI实体)有EFI Driver(驱动),EFI Application(应用程序),os Loader(操作系统引导程序),如下图。

EFI Driver和EFI Application是FFS结构,安装UDK(UEFI开发包),使用C语言,遵循接口,就可以开发EFI程序。

EFI程序开发必须要有.inf定义文件,定义应用名,guid,程序类型(应用或驱动),入口点,源码文件,依赖库等,其中GUID是模块的标识,bios系统是以GUID来标识程序。

<详细技术报告请点击最下方“阅读原文”>

五、防御与检测

防御:

1、开启UEFI SecureFlash;

2、及时更新BIOS修复安全漏洞;

3、设置BIOS/UEFI密码。

检测:

1、进行操作系统安全模式,查看系统自启动目录是否有可疑程序,如scout.exe,soilder.exe;

2、借助工具dump下uefi bios,查看是否有可疑模块。

*作者:腾讯电脑管家,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-07-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

Trustwave:中国制GSM语音网关存在Root权限后门

近日,网络安全公司Trustwave发布了一份报告,称在一家名为DBL Technology(得伯乐科技)的中国公司生产的GoIP GSM语音网关中发现了一个隐...

26180
来自专栏企鹅号快讯

黑客找到Switch内核漏洞 但表示不会发布

近日,在德国34C3黑客大会上,三位黑客Plutoo、Derrek和Naehrwert在现场介绍了他们如何利用内核漏洞绕过任天堂Switch的底层保护机制,来获...

25060
来自专栏FreeBuf

走进科学:我是如何“黑了”星级酒店的

本来觉得这文章写出来不会有什么营养,微信朋友圈发了几张图大家觉得好玩就发上来博君一笑! 五一期间,实在是因为离家出走又不能睡大街所以去了一家星级宾馆(这理由我...

229100
来自专栏程序猿DD

IntelliJ IDEA插件系列:五大装逼神器

之前介绍了关于Intellij IDEA的插件和快捷键内容,非常受欢迎: 最好用的 IntelliJ 插件 Top 10 我最常用的Intellij IDEA...

42760
来自专栏FreeBuf

如何建立有效的安全运维体系

随着互联网行业的蓬勃发展,国内的黑客产业链早已达数十亿级别。除了各类网络攻击之外,一些黑客入侵情况也并不鲜见。这种事件相对于网络攻击有着更大的破坏力,系统被入侵...

66880
来自专栏FreeBuf

一不留神就被别人当枪使的年代

人心不古,世风日下…… 已经想不起什么时候我们竟然习惯了小心翼翼地浏览网页,习惯了去时刻提防各种各样的诱骗。 形形色色的陷阱 互联网已经成为了我们生活的一部分,...

22750
来自专栏FreeBuf

揭秘:短信拦截木马背后的黑色产业

0×01 概述 从2013年5月至今,AVL移动安全团队持续监测到了一类高活跃高危害的短信拦截类型木马。短信拦截马,顾名思义是一种可以拦截他人短信木马,就是让被...

47580
来自专栏FreeBuf

特别企划 | 那些年你“听不懂”的安全名词

也许你已经对网络钓鱼耳熟能详了,也许你也遇到过一些勒索软件或者病毒的攻击。但 catfishing 是什么?水坑攻击为什么叫水坑攻击?51% 攻击又是什么?边信...

34870
来自专栏人工智能的秘密

深度学习的入门级装机配置推荐

为了让初学者花最少的钱办性价比最高的事情,我构造了这样一套DIY装机配置,在最大化利用显卡资源的同时,极力压缩无关配置。这个配置的主要特性是去掉...

507100
来自专栏安恒信息

【连载】2016年中国网络空间安全年报(三)

2016年中国网络空间安全年报 1.3. 站点安全事件分析 2016年国内依旧有部分重要站点被黑,出现此类事件意味着站点已被黑客成功入侵,相关站需要及时清除...

31760

扫码关注云+社区

领取腾讯云代金券