CIA数据泄露后,英特尔发布了对EFI rootkits的检测工具

英特尔安全公司发布了一个工具,允许用户检查其计算机的底层系统固件是否已被修改及包含未经授权的代码。

CIA文件泄露后发布的,英特尔开发了供苹果的MacBook检测EFI rootkits的工具。rootkit是一个以高权限运行的恶意程序,通常和其他恶意组件在内核中隐藏和活动。

id-2956980-security-100600858-large

来自CIA的开发分支(EDB)中一份文档提到了一个名为DerStarke的OS X“植入”,包括一个内核代码注入模块,Bokor和一个名为DarkMatter的EFI持续性控制模块。

EFI也称为UEFI(Unified EFI),是在操作系统运行之前运行的,并在系统引导过程中初始化各种硬件组件的底层固件。它代替了现代计算机中基本的BIOS,并且类似于迷你操作系统。它具有数百个为可执行二进制实现不同功能的“程序”。

隐藏在EFI中的恶意程序可以将恶意代码注入到操作系统内核中,并可以还原从计算机中删除的任何恶意软件。这样将允许rootkit在大版本的系统更新,甚至重新安装后还可以保持控制。

除了DarkMatter,在CIA EDB文档中有一个名为QuarkMatter的项目,也被称为“Mac OS X EFI植入,它使用存储在EFI系统分区上的EFI驱动程序为任意内核植入持久性后门。

YY截图20170310155554

英特尔安全公司的高级威胁研究团队为其现有的CHIPSEC开源框架(平台安全评估框架)创建了一个新模块,用以检测EFI中的流氓二进制文件。CHIPSEC包括一组命令行工具,它们使用底层接口来分析系统的硬件,固件和平台组件。它可以从Windows,Linux,macOS,甚至从EFI shell运行。

更新后的CHIPSEC模块可以使用户从计算机制造商处获取一个纯净版的EFI映像,提取其内容并在其中构建二进制文件的白名单。然后,它可以将该列表与系统的当前EFI或先前从系统提取的EFI镜像进行比较。

如果工具找到与纯净版EFI列表不匹配的任何二进制文件,则可能是固件已感染。列出流氓文件,然后可以进一步分析。

“我们建议在购买计算机后或确保计算机未被感染时生成EFI白名单,”英特尔安全研究人员在一篇博客中说。然后定期或随时检查系统上的EFI固件,例如当电脑长时间不在身边后。

macOS用户可以在Apple的支持网站上获得各种Mac和Macbook版本的EFI固件更新。

 

*参考:networkworld,MottoIN小编编译发布,转载请注明来自MottoIN

原创文章,作者:Jarry,如若转载,请注明出处:http://www.mottoin.com/news/98335.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code