CIA泄密事件发生后,因特尔安全团队发布了用于EFI隐匿技术的检测工具,它能够检测出计算机固件中的恶意二进制。
几天前,维基解密宣布称整根软件制造商一起修复Vault7中公布的0day缺陷。因特尔安全发布的这款CHIPSEC检测工具能够查看计算机的固件是否被修改以及是否包含未经授权的代码。
安全专家从CIA泄密文档中发现CIA为苹果的Macbook开发出了EFI(可扩展固件接口)工具包。来自CIA EDB(嵌入式开发分支)组织的开发人员已设计出名为DerStarke的OS X“植入”,它可在名为Bokor的模块中实现内核代码注入机制并使用了EFI持续模块Dark Matter。
在现代计算机中,UEFI(统一EFI)替代了BIOS,它是一种底层固件,它在引导程序进程初始化计算机时先于操作系统运行。它由大量在“应用程序”组成,在现代计算机中实现不同功能。
在EFI中悄悄运行的恶意软件能够绕过任何安全机制并将恶意代码注入到OS内核中,同时它还会获取持续访问受感染设备的权限,这样隐匿技术能够经受住重启、系统更新、甚至是操作系统重装。
CIA泄密文档中还发现了另外一个由CIA EDB开发的代码QuarkMatter,它是一种“Mac OS X EFI植入,使用存储在EFI系统分区中的EFI驱动来为任意内核植入提供持续性”。
因特尔安全团队为其现有的CHIPSEC开源框架设计了新模块。CHIPSEC是命令行工具的集合,这些命令行使用底层接口来分析系统硬件、固件和平台组件。新的CHIPSEC模块能让用户从厂商提取清洁的 EFI图像、提取其内容并构建所包含文件的白名单。
CHIPSEC能让用户对比以上清单跟组成系统当前EFI二进制清单,或者跟之前从系统中提取出的EFI图像进行对比。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。