眾所周知蘋果Mac電腦很安全，但是隨著惡意軟件的發(fā)展，憑借現(xiàn)有Mac安全機(jī)制想要完全對抗惡意軟件的感染可能會變得更加艱難。近期一種新型惡意軟件的問世，使得黑客通過短暫的物理接觸，讓2011年以后生產(chǎn)的蘋果Mac電腦感染ROM級惡意程序。

背景

近日，安全研究人員發(fā)現(xiàn)一種讓蘋果電腦感染ROM級惡意程序的方法。

這個攻擊由編程專家Trammell Hudson在德國漢堡舉辦的年度混沌計算機(jī)大會上展現(xiàn)，他證明這將使重寫蘋果Mac計算機(jī)固件成為可能。

這種攻擊被命名為“Thunderstrike(雷擊)”。它實際上利用了一個在ThunderboltOption ROM中有些歷史的漏洞，該漏洞在2012年首次被發(fā)現(xiàn)但仍未修補。通過受感染的Thunderbolt設(shè)備在蘋果電腦的boot ROM中分配一段惡意程序，Thunderstrike 將可以感染蘋果可擴(kuò)展固件接口(EFI)。查看更多信息點我

科普(本文涉及的專有名詞解釋)

Thunderbolt(雷電)接口：英特爾在2009年設(shè)計完成的某種接口，替代并統(tǒng)一目前電腦上數(shù)量繁多性能參差不齊的擴(kuò)展接口。雷電接口形狀與MiniDisplayport一樣，并且可以對其兼容。其理論最高傳輸速度可達(dá)單向10Gbps，是USB 3.0規(guī)范的2倍。并且在未來會提供對存儲設(shè)備的支持，可以大幅提升傳輸帶寬。

該技術(shù)由蘋果和Intel共同開發(fā)、推廣，蘋果新款MacBook Pro中便使用了全新的Intel雷電技術(shù)。

Option ROM：PCI Option ROM又叫PCI Expansion ROM。 它是用于設(shè)備初始化和系統(tǒng)boot的code。有的PCI Option ROM被存放在板卡上，而有的則保存在BIOS的binary里面。

Bootkit：是更高級的Rootkit，該項目通過感染MBR(磁盤主引記錄)的方式，實現(xiàn)繞過內(nèi)核檢查和啟動隱身。可以認(rèn)為，所有在開機(jī)時比Windows內(nèi)核更早加載，實現(xiàn)內(nèi)核劫持的技術(shù)，都可以稱之為Bootkit。

循環(huán)冗余校驗算法：要計算n位的CRC值，將待CRC的數(shù)據(jù)左移n位(即在其最右端添加n個0)，如果待CRC數(shù)據(jù)的最高位為0，不進(jìn)行任何操作，否則將其與事先設(shè)定好的除數(shù)(divisor)進(jìn)行異或操作，然后將除數(shù)右移一位。重復(fù)上述兩個操作直到除數(shù)到達(dá)待CRC數(shù)據(jù)的右端。

EFI可擴(kuò)展固件接口： (英文名Extensible Firmware Interface 或EFI)是由英特爾，一個主導(dǎo)個人電腦技術(shù)研發(fā)的公司推出的一種在未來的類PC的電腦系統(tǒng)中替代BIOS的升級方案。

UEFI：全稱“統(tǒng)一的可擴(kuò)展固件接口”(Unified Extensible Firmware Interface)， 是一種詳細(xì)描述類型接口的標(biāo)準(zhǔn)。這種接口用于操作系統(tǒng)自動從預(yù)啟動的操作環(huán)境，加載到一種操作系統(tǒng)上。

惡意軟件“雷擊(Thunderstrike)”

原理：

一旦安裝了這種名“雷擊(Thunderstrike)”的惡意軟件，它會替換Mac下的引導(dǎo)固件程序，以高優(yōu)先級的指令獲得系統(tǒng)控制權(quán)限。這款惡意軟件(bootkit)可以繞過固件程序密碼驗證及硬盤密碼驗證，在操作系統(tǒng)啟動時就預(yù)裝上后門。

該惡意軟件安裝以后，將獨立于操作系統(tǒng)和硬盤驅(qū)動，因此格式化硬盤和重裝操作系統(tǒng)也拿它沒辦法。

原因是該惡意軟件取代了蘋果的數(shù)字簽名。本來Mac下運行的固件程序都需要數(shù)字簽名進(jìn)行授權(quán)，現(xiàn)在數(shù)字簽名被替換了后也就沒有了相應(yīng)的限制。同時，當(dāng)前很少有方法可以清理受惡意軟件感染了的引導(dǎo)系統(tǒng)。目前這個概念首次在OS X平臺提出，暫時在真實環(huán)境下并沒有發(fā)現(xiàn)這樣的攻擊實例，現(xiàn)有的技術(shù)也沒法對這類攻擊進(jìn)行精確檢測。

傳播方式：

該惡意軟件通過連接Mac機(jī)器Thunderbolt(雷電)接口的外接設(shè)備進(jìn)行傳播。當(dāng)攻擊者使用帶有惡意軟件的外接設(shè)備插入Mac機(jī)器中進(jìn)行引導(dǎo)時，會把惡意Option ROM注入可擴(kuò)展固件接口(EFI)。

Option ROM負(fù)責(zé)啟用Mac系統(tǒng)的管理模式，并在系統(tǒng)加載前激活其他低級指令。它替換了Mac下的RSA密鑰(key)，使得不經(jīng)過授權(quán)的固件程序也可以安裝。這樣的話，操控了生殺大權(quán)的Thunderbolt外接設(shè)備就可以隨意往Mac安裝惡意固件程序，沒有新的key很難將它去除。

如何實施攻擊

從表面上看，這種攻擊行為需要短時間接觸物理機(jī)，也許有童鞋會認(rèn)為這種攻擊實現(xiàn)難度比較高。

但事實未必如此，現(xiàn)實中仍然有很多攻擊機(jī)會：比如，某名不懷好意的酒店服務(wù)人員可能有機(jī)會接觸你的電腦，海關(guān)陸卡的人員也有很多機(jī)會接觸他人電腦。前NSA員工斯諾登泄密的文檔里也顯示，從事美國情報工作的相關(guān)人員會攔截那些運往目標(biāo)組織的設(shè)備硬件，在中途悄悄將修改過的固件程序裝上去。

如何實施Thunderstrike式攻擊呢?將惡意改裝過的Thunderbolt設(shè)備插入Mac并將其重啟就行。如果你碰到一臺Mac機(jī)器開機(jī)后卻發(fā)現(xiàn)存在密碼校驗機(jī)制，只需要按下電源鍵幾秒鐘對機(jī)器進(jìn)行硬重啟，固件密碼、硬盤密碼，以及用戶密碼等防護(hù)手段都將失效，因為Option ROMs在這些保護(hù)措施進(jìn)行檢測之前已經(jīng)加載了。

“雷擊(Thunderstrike)”的歷史

Thunderstrike在去年12月下旬于混沌通信大會亮相。該漏洞由Trammell Hudson發(fā)現(xiàn)，這名安全研究員供職于紐約一家名為Two Sigma Investments的高科技對沖基金公司。當(dāng)初發(fā)現(xiàn)這個漏洞時，他只是試圖對公司的Mac筆記本進(jìn)行安全加固。Hudson自稱為一名逆向愛好者，以前曾以創(chuàng)建佳能單反相機(jī)的開源編程擴(kuò)展包Magic Lantern而出名。

2012年黑帽大會曾展示了一個繞過OS X FileVault保護(hù)，然后安裝rootkit的攻擊案例。Thunderstrike的實現(xiàn)與其比較相似。如Thunderstrike一般，那款2012年黑帽大會的exp也使用了Thunderbolt端口，對引導(dǎo)進(jìn)程注入了惡意payload。但是，它卻不能對引導(dǎo)ROM本身進(jìn)行更改。為了繞過這一限制，研究人員寫出了針對EFI系統(tǒng)分區(qū)的bootkit。

Thunderstrike的其中一個技術(shù)突破點，是其可以通過引導(dǎo)ROM固件卷的驗證。Hudson在常規(guī)驗證過程中發(fā)現(xiàn)一個未證明的CRC32循環(huán)冗余校驗程序，正是從這個里面他得到了啟發(fā)。第二次技術(shù)突破點，則是Hudson發(fā)現(xiàn)Option ROMs會在恢復(fù)引導(dǎo)模式進(jìn)行加載。就是這兩個突破，讓Hudson想出了如何替換蘋果的現(xiàn)有的EFI代碼。

Thunderstrike只是在12月混沌通信大會上演示的基于EFI的攻擊之一，該大會演示了至少演示了兩個以上的同類型攻擊。其中有一個話題單獨剖析了可擴(kuò)展固件接口(UEFI)，討論了如何使用相似的機(jī)制用來引導(dǎo)啟動某些Win或者Linux機(jī)器。Hudson表示，有一種名為黑暗絕地(Dark Jedi)的技術(shù)，黑客不需要進(jìn)行物理接觸，只需要遠(yuǎn)程實施攻擊。

本周早些時候，美國CERT發(fā)布了關(guān)于使用UEFI的設(shè)備的三個漏洞的預(yù)警：

http://www.kb.cert.org/vuls/id/976132

http://www.kb.cert.org/vuls/id/766164

http://www.kb.cert.org/vuls/id/533140

此外，安全公司Bromium的某名研究員在關(guān)于UEFI討論中，也發(fā)布有短篇的writeup。

漏洞作者的建議

Hudson表示蘋果公司只會在局部修補漏洞，正是這個情況造就了“雷擊(Thunderstrike)”漏洞。想要補救該漏洞，就需要禁止Option ROMs在固件更新時進(jìn)行加載。Hudson指出，這個措施能有效地遏制其目前發(fā)現(xiàn)的漏洞影響。蘋果公司已經(jīng)升級了Mac Mini和iMac Retina 5k，而且打算盡量在短時間內(nèi)向用戶推廣。

但是Hudson指出，蘋果的這次升級并非一個完美的解決方案。Option ROMs仍然實行的是普通引導(dǎo)模式，所以2012年的那種攻擊手法仍然能夠起效，導(dǎo)致老版Mac在更新固件版本后反而會受到該類攻擊。

在蘋果提出完美修復(fù)方案之前，并沒太多防御“雷擊(Thunderstrike)”的可行方案。

也許在Thunderbolt端口澆上大量的環(huán)氧樹脂膠確實會增加攻擊難度，這樣的話黑客不得不拆開外殼才能才能接觸到底層的Flash ROM芯片。但是畢竟這是以禁用關(guān)鍵的功能為代價的……另一個不靠譜的解決方案，就是讓電腦主人寸步不離機(jī)器，不過就算放在酒店保險箱和儲物盒密封，也總會有被人進(jìn)行物理接觸的可能。、

參考來源：http://arstechnica.com/security/2015/01/worlds-first-known-bootkit-for-os-x-can-permanently-backdoor-macs/