近日，安全研究人員開發出一種新的BIOS bootkit，它可以竊取敏感數據，以及流行操作系統使用的PGP密鑰。包括華碩、惠普、宏基、技嘉以及微星等在內的各大供應商的主板都受到該病毒影響。

[[130175]]

BIOS bootkits是真實存在的。斯諾登在披露NSA ANT部門使用的監視工具集時，曾提到過BIOS bootkits。這些惡意軟件能夠入侵受害機器的BIOS，以此確保隱藏的持久性以及實現復雜的逃避技術。即使重裝操作系統，BIOS bootkits仍然能夠存留。

FreeBuf科普：BIOS

BIOS是英文"Basic Input Output System"的縮略詞，直譯過來后中文名稱就是"基本輸入輸出系統"。其實，它是一組固化到計算機內主板上一個ROM芯片上的程序，它保存著計算機最重要的基本輸入輸出的程序、系統設置信息、開機后自檢程序和系統自啟動程序。 其主要功能是為計算機提供最底層的、最直接的硬件設置和控制。

新型BIOS bootkit介紹

最近，卡巴斯基實驗室的專家們發現，黑客組織方程式發起的一場復雜的APT(高級持續性威脅)，使用了BIOS bootkits來入侵目標機器。考慮到這種惡意植入的復雜性，很多安全專家推測這次攻擊與NSA有直接關系。

NSA和方程式(攻擊同時使用了EquationDrug和GrayFish平臺)都利用了模塊NLS_933W.DLL，而該模塊被主要的供應商廣泛使用。NLS_933W.DLL中包含了一個能夠隱藏惡意軟件的驅動程序，而由攻擊者開發的驅動程序允許在內核級別與硬盤進行交互，卡巴斯基的專家們解釋說。

卡巴斯基實驗室的首席安全研究員Vitaly Kamluk說：

“即使它使用了特定序列的ATA命令來與硬盤交互，但并不是因為代碼復雜，其實最復雜的是重新設定固件本身。為了掌握如何寫固件，我們需要花費幾年的時間去學習。這是更高層次的持久性攻擊，這是我們第一次從高級攻擊者那里見到的這么高復雜度的攻擊技術。”

今天，在溫哥華的CanSecWest會議上，研究人員Corey Kallenberg和Xeno Kovah，即LegbaCore的創始人，將展示他們對一套新的BIOS漏洞的研究情況，以及對BIOS rootkits的開發成果。

他們發現了一種繞過BIOS防護機制的新方法，而且這項研究中最有趣的部分是，他們已經定義了一種方法來實現漏洞發現的自動化實現。

這種攻擊在特定條件下是可行的，只需滿足攻擊者能夠遠程訪問目標機器，以此來植入BIOS bootkit，接著攻擊者就可以通過硬件來提升權限。

BIOS bootkit工作原理

該病毒的利用方式可以禁用BIOS的防御機制，這可以防止固件重新flash，然后就可以注入并執行惡意代碼。

這個BIOS bootkit最強大的地方是，它被注入到了系統管理模式。系統管理模式是一個計算機操作模式，在該模式中所有正常的執行，包括操作系統，都會被中斷，而特定獨立的軟件，包括固件，則會以高權限運行。

研究人員利用系統管理模式以高權限運行它們的BIOS bootkit，并管理目標結構的各種組件，包括內存。研究人員強調，像Tails這種安全發行版也能夠被成功植入。至于BIOS bootkit的危害性，它可以竊取敏感數據，以及流行操作系統使用的PGP密鑰等。

該bootkit能夠在很多廠商的BIOS版本上工作，根據專家所說，BIOS bootkit在UEFI(統一可擴展固件接口)下同樣有效，而UEFI被認為是BIOS改進的下一代版本。