日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

上周，Hacking Team 400G泄露數(shù)據(jù)在市面上瘋傳，已有3枚Flash 0day漏洞和一枚Android漏洞被曝光，而本周趨勢(shì)科技的研究人員又有了重大發(fā)現(xiàn)：Hacking Team使用了UEFI BIOS Rootkit，從而使他們的遠(yuǎn)程控制系統(tǒng)(RCS)駐足目標(biāo)系統(tǒng)。

也就是說(shuō)，即使用戶格式化硬盤(pán)、重裝系統(tǒng)，甚至買(mǎi)了塊新的硬盤(pán)，遠(yuǎn)控程序依舊會(huì)留在目標(biāo)電腦中。

攻擊方式

這是一個(gè)針對(duì)Insyde BIOS的程序，但這份代碼同樣可以在AMI BIOS上運(yùn)行。

Hacking Team的一份幻燈片中提到，成功感染需要與目標(biāo)系統(tǒng)有物理接觸，但我們不能排除遠(yuǎn)程安裝的可能性。一個(gè)攻擊場(chǎng)景的例子是：入侵者獲取目標(biāo)電腦的訪問(wèn)權(quán)限，重啟進(jìn)入U(xiǎn)EFI shell，把BIOS dump出來(lái)，安裝BIOS rootkit，重刷BIOS，然后重啟目標(biāo)系統(tǒng)。

我們發(fā)現(xiàn)，Hacking Team為他們的BIOS rootkit寫(xiě)了幫助工具，甚至當(dāng)BIOS鏡像不兼容時(shí)提供支持服務(wù)。

 

安裝過(guò)程

首先程序會(huì)將三個(gè)模塊從外部存儲(chǔ)(可能是有UEFI shell的USB key)復(fù)制到被修改的UEFI BIOS上的文件卷(FV)中。Ntfs.mod會(huì)讓UEFI BIOS讀取/寫(xiě)入NTFS文件。然后Rkloader.mod就會(huì)hook UEFI事件，并且在系統(tǒng)啟動(dòng)時(shí)調(diào)用dropper函數(shù)。dropper.mod文件包含著遠(yuǎn)控客戶端，文件名為scout.exe和soldier.exe。

 

也就是說(shuō)，安裝了BIOS rootkit之后，每次電腦重啟，它都會(huì)檢查遠(yuǎn)控是否還在，如果不存在，就會(huì)將scout.exe安裝至以下路徑：

\Users\[username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6To_60S7K_FU06yjEhjh5dpFw96549UU

 

盡管dropper會(huì)檢查soldier.exe是否存在，但不知為何它不會(huì)執(zhí)行安裝。

安全建議

1、確保UEFI SecureFlash功能已開(kāi)啟

2、及時(shí)更新BIOS修復(fù)安全漏洞

3、設(shè)置BIOS/UEFI密碼

服務(wù)器管理員們也可以購(gòu)買(mǎi)具有BIOS保護(hù)功能的服務(wù)器，這種服務(wù)器在更新BIOS時(shí)會(huì)要求用戶更改主板跳線或Dip式跳線。

新聞標(biāo)題：HackingTeam用UEFIBIOSRootkit將遠(yuǎn)控長(zhǎng)駐操作系統(tǒng)
網(wǎng)站路徑：http://m.5511xx.com/article/cdgihps.html