BIOS 病毒出現、暫無防禦法?

病毒入侵手段有進步了,繼入侵硬碟Firmware後,新方法是感染 BIOS ,而且不論作業系統是Linux、Mac OS X還是Windows,同樣有機會「中招」。201500104bios
在最近的CanSecWest安全大會上,兩位安全專家展示了一種針對 BIOS 和 UEFI 的攻擊方式。長達81頁的報告向世人描繪了一幅 恐怖的場景:這種攻擊可以繞過一切安全軟體,即便更換硬碟、重裝作業系統(OS),都不可能清除的超級病毒,如今可以通過簡單的方式侵入全球數以千萬計的 PC。更可怕的是,幾乎無人對這種威脅表現出真正的重視態度。我們使用的PC,都安裝有被叫做BIOS的硬體模組。BIOS 是系統最底層的控制系統,負責管理基本的硬體功能。常見的OS如Linux、Mac OSX、Windows相當於人類的大腦,BIOS 的職責就接近人體的植物神經。電腦通電啟動後,第一個開始運行的模組就是 BIOS ,它引導各個組件如記憶體、顯示卡開始運行,之後將控制權移交給正常啟動的OS。

BIOS 的功能很少,啟動速度緩慢且基本沒有擴展能力,是以在2010年,名為 UEFI 的新式 BIOS 開始普及。UEFI 相當於一個現代化的微型OS,支援滑鼠和圖形化界面,可以管理許多硬體設備,並且運行速度較快。2010年後生產的PC,基本都換上了UEFI。BIOS 一般沒有安全防禦措施,倘若一段惡意程式碼被植入 BIOS ,在OS啟動之前,即使開始運行也不會被發現。不過一旦OS完成啟動,程式碼就很容易被安全軟體察覺並清除。用戶的敏感操作大多是在OS中完成的,所以如果 BIOS 病毒不能繞開OS的防禦措施就不可能竊取用戶私隱。然而安全專家發現了一條隱秘的通道,可以讓惡意程式繞過OS的監控措施。基於x86指令集的CPU,都有一種叫做系統管理模式(SMM)的特殊運行狀態,處於這種運行狀態的程式,對OS是透明的。惡意程式如果在系統管理模式下,竊取電腦內存中的敏感資料,安全軟體對此基本無能為力。

如果惡意程式在進入SMM狀態之前就被發現,攻擊自然是失敗的。但此次安全會議上,Xeno Kovah和Corey Kallenberg兩位專家展示的正是如何令病毒程式全程處於SMM狀態,徹底避開掃毒程式的掃瞄與監控。他們發現了新一代BIOS 即 UEFI 普遍存在一種漏洞,使程式碼可以被輕易植入其中。利用此種漏洞程式可以在OS啟動之前,即開始以SMM狀態運行,以「隱身」狀態偷取情報。不僅防火牆、殺毒軟體無法發現這類程式,就連專門設計的Sand Box安全系統,都在新型竊賊面前如同裸奔。諸如瀏覽器安全控件、USB隨身碟之類的防禦體系現在徹底失效了,更可怕的是除了更新 BIOS 以外,沒有辦法清除這種病毒,連換掉硬碟都沒用。而且用戶根本不知道自己是否被入侵,自然也不會 採取任何對應措施。

本來這種 UEFI 的漏洞並不是通用的,不同的 UEFI 版本中的漏洞不一樣,入侵者需要找到具體的程式碼類型,才能實施攻擊。但是幾大主板廠商多年來,在 UEFI 中大量使用通用的程式碼,導致數以千萬計的PC的漏洞特徵,只有少數幾百個。只需要一段腳本,就可以在極短時間內,分析出目標PC的漏洞類型並加以利用,過程毫不拖泥帶水。由於大多數使用者從來不會更新自己的 BIOS ,所以惡意程式一旦植入成功,就幾乎不可能被清除。電腦中了這麼一招就幾乎沒有安全性可言了,傳統的安全應對策略如安全軟體、複雜密碼等,都成了自欺欺人的笑話。

值得慶幸的是我們面對這可怕的威脅並非束手無策。首先這種攻擊非常難以通過遠程手段成功進行,攻擊者需要獲得目標系統的管理員權限,而且直接與受害者的PC有物理卜的接觸才能成事。只要用戶的管理員密碼沒有洩露或被破解,被秘密遠程植入程式碼是不太可能的。當然傳統的釣魚郵件、惡意鏈接等攻擊方式,依舊可以用來進行木馬植入。一旦攻擊完成,殺毒軟體是不可能發現被安裝在 UEFI 的惡意程式。所以面對陌生郵件、鏈接和網站還是要保持高度警惕,現在你的電腦事實上比以前更加脆弱了。企業和政府部門尤其該注意這種全新的攻擊技術。雖然遠程攻擊不太容易,但如果攻擊者能夠直接控制電腦那一切就輕而易舉了:僅需兩分鐘,一名沒什麼電腦知識的攻擊者,就可以按照簡單的說明,輕鬆將木馬安裝到目標系統中。從此以後這台電腦就失去了所有的外衣,對黑客完全透明。因此商業公司和政府部門,現在應該密切注意人員的權限管理,帶有敏感數據的電腦,一定要杜絕低權限人員的接觸。

想要徹底解決這一前所未有的安全威脅的唯一方法,是升級到打好修正檔的最新版本 BIOS 。遺憾的是目前多數主板廠商還沒開始動作,而媒體也缺乏對這事的關注。自救的方法嗎?自然就是安裝Linux了。原因是感染途徑雖然是傳統的釣魚郵件和惡意鏈接,但針對的卻主要是Windows的零日漏洞,對攻擊者來說,一段能對大部分PC攻擊的程式碼就已經足夠了,犯不著花時間去編寫一段攻擊Linux的程式碼。在這個層面來說,Mac OS X比Windows更安全,Linux又比Mac OS X更安全,還是及早用Linux吧。

你可能有興趣的內容

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *