监控软件制造商Hacking Team为政府客户提供了感染笔记本电脑和其他他们想要监控的计算机上的低级固件的能力。

该公司开发了一种工具，可以用来修改计算机的UEFI(统一可扩展固件接口)，这样即使硬盘被移除或更换，也可以安静地重新安装监控工具。

UEFI是传统BIOS(基本输入输出系统)的替代品，旨在参考规范规范现代计算机固件。不过很多公司都在开发UEFI固件，PC厂商使用的实现可能会有很大的不同。

反病毒软件提供商趋势科技(Trend Micro)的安全研究人员表示，黑客团队开发了一种方法来感染由Insyde Software开发的UEFI固件。这家台湾省公司的客户包括惠普、戴尔、联想、宏碁和东芝。

趋势科技研究人员在一篇博客文章中表示，“然而，这些代码也可能适用于AMI BIOS。”AMI BIOS是指大趋势开发的固件，是BIOS市场的长期领导者。

近日，一名黑客从米兰黑客团队泄露了价值超过400GB的文件和电子邮件，趋势科技在这些文件和电子邮件中发现了UEFI rootkit的详细信息。过去一周，安全研究人员和记者一直在筛选数据，以找到恶意软件源代码、客户名单、漏洞、漏洞和更多信息。

趋势科技研究人员表示，某黑客团队的幻灯片显示，安装UEFI rootkit需要访问目标计算机，但不能排除远程安装的可能性。

对于政府机构来说，获得对某些计算机的临时物理访问不会是一个大问题，因为许多国家都有法律允许在边境检查笔记本电脑和其他设备。

黑客团队称其监控软件为“政府拦截黑客套件”，并声称只会出售给政府机构。即便如此，大多数反病毒软件供应商还是将这种高度侵入性的软件(即远程控制系统(RCS)或伽利略)检测为恶意软件。

趋势科技研究人员表示，为了安装RCS UEFI rootkit，攻击者必须重新启动系统，进入UEFI shell，提取固件，将rootkit写入转储的映像，然后将其闪存回系统。

Rootkit本身有三个模块：一个用于读写NTFS文件系统；用于连接操作系统启动过程；一是检查系统上是否有RCS。

每次系统重启时，rootkit都会检查是否有两个名为scout.exe和soldier.exe的软件代理。趋势科技研究人员表示，如果没有scout.exe，它会将其安装在操作系统内部的预定义位置。

在过去几年的安全会议上，许多研究人员已经证明了在计算机的BIOS或UEFI固件中安装rootkit的可能性。然而，在野外使用这种rootkit是非常罕见的。

通过搜索黑客团队泄露的邮件通讯，发现公司工程师对2009年以来写的每一篇关于BIOS和UEFI黑客的文章和研究论文都非常关注。其中包括关于破解BIOS密码的博文，关于破解签名BIOS执行的论文，以及泄露的关于国家安全局BIOS感染能力的文件。

这些电子邮件还显示，该公司的R&D团队至少从2014年年中开始致力于“持续UEFI感染”功能。9月9日，德国英达解决方案公司的一位客户查询到一份具有持续感染功能的电脑清单。

黑客团队的一名员工回应称：“很抱歉，我们没有持续感染UEFI的电脑型号列表。“我们测试了宏碁和UEFI开机的最后一个系列。我们正在努力支持华硕等其他机型，但目前无法向您提供发布日期。”

去年12月，黑客团队运营经理丹尼尔米兰(Daniele Milan)要求一名高级安全工程师澄清这一职能，以便回答潜在客户的询问。

工程师回复称，该功能已在戴尔Latitude 6320、戴尔Precision T1600、华硕X550C和华硕F550C上成功测试。它也适用于东芝的卫星C50和宏碁的Aspire E1-570，但故障风险更高。

该工程师表示，该软件原则上适用于所有64位CPU架构的笔记本电脑、工作站和服务器，支持Windows 7和Windows 8 Pro。

在后来的一封电子邮件中，他提到“chiavetta”也可以在戴尔服务器上使用。Chiavetta在意大利语中的意思是key，但也广泛用于指代u盘，建议如何部署UEFI rootkit。

为了防止这种感染，趋势科技建议用户启用UEFI安全闪存选项，设置BIOS/UEFI密码，并将固件更新到最新版本以安装最新的安全补丁。UEFI/BIOS更新通常由计算机制造商通过其支持网站发布，其中一些更新修复了安全研究人员发现的问题。

版权说明： 本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

标签：