在维基解密CIA数据泄露事件后,英特尔安全(Intel Security)公司发布了CHIPSEC——一款用于检测计算机固件内的流氓二进制文件的EFI rootkit检测工具。
几天前,维基解密宣布它正在与软件制造商合作,一起修复Vault7泄漏文档中影响他们的产品和服务的零日漏洞。该组织正在与他们共享关于Vault7泄露文档中包含的黑客工具的信息,此外,IT供应商们也正在努力解决这些问题。
为了响应中央情报局的此次数据泄露事件,英特尔安全发布了一个工具,允许用户检查是否其计算机的固件已经被修改并包含未经授权的代码。
挖掘中央情报局泄漏文档的安全专家发现,该机构的黑客已经为苹果的MacBook开发了EFI(可扩展固件接口)rootkit。
中央情报局嵌入式开发分支(EDB)小组的开发人员已经设计了一款名为“DerStarke”的OS X“植入” ,在名为“Bokor”的模块中实现一个内核代码注入机制,并使用一个称为“Dark Matter”的EFI持久化模块。
该UEFI(统一的扩展固件接口)取代了现代计算机的BIOS(基本输入输出系统),它是系统和其固件相兼容的软件接口。它由在现代计算机中实现不同特征的大量“应用程序”所组成。
在EFI中以隐藏方式运行的恶意软件能够绕过任何安全机制,并将恶意代码插入到系统内核中,它还会在受感染的机器上保持持久化,从而允许rootkit再重新启动,系统更新甚至是重新安装系统。
阅读文档可能会发现另一个由CIA EDB(嵌入式开发小组)开发的项目,代号为“QuarkMatter”,它是一个“Mac OS X EFI植入,可以使用存储在EFI系统分区上的EFI驱动程序为任意内核植入提供持久性。”
现在英特尔安全公司的高级威胁研究团队为其现有的CHIPSEC开源框架设计了一个新模块,该模块能够检测出恶意的EFI二进制文件。对该框架的描述称,
CHIPSEC是一个用来分析PC平台安全性的框架,包括硬件、系统固件(BIOS / UEFI)以及平台组件等。它包括一个安全测试套件,可以访问各种低级接口的工具,以及取证功能。它可以在Windows、Linux、Mac OS X以及UEFI shell上运行。CHIPSEC的安装和使用说明可以在手册(chipsec -manual,PDF)中找到 。
CHIPSEC 是一个命令行工具的集合,使用低级别的接口来分析系统的硬件、固件以及平台组件。这一新型CHIPSEC模块允许用户从制造商处获取一个干净的EFI映像,提取其内容并构建一个其包含的文件的白名单。此外,CHIPSEC还允许用户将上述列表与组成系统当前EFI的二进制文件列表或先前从系统中提取的EFI图像进行比较。
发表评论