殺毒軟件、防火墻、U盾……在植入系統(tǒng)BIOS的新型攻擊技術(shù)面前，傳統(tǒng)的安全防御體系徹底失效了。

在最近的CanSecWest安全大會(huì)上，兩位安全專家展示了一種針對(duì)計(jì)算機(jī)基礎(chǔ)固件——UEFI的攻擊方式。長(zhǎng)達(dá)81頁(yè)的PPT向世人描繪了一幅恐怖的圖景：可以繞過(guò)一切安全軟件、密碼控件，無(wú)法被發(fā)現(xiàn)，即便更換硬盤重裝系統(tǒng)都不可能清除的超級(jí)病毒，如今可以通過(guò)簡(jiǎn)單的方式侵入全球數(shù)以千萬(wàn)計(jì)的PC。更可怕的是，幾乎無(wú)人對(duì)這種威脅表現(xiàn)出真正的重視態(tài)度。

背景

我們使用的PC都安裝有被叫做BIOS的硬件模塊。BIOS是系統(tǒng)最底層的控制系統(tǒng)，負(fù)責(zé)管理基本的硬件功能。如果說(shuō)常見的操作系統(tǒng)如Windows、OS X、Linux相當(dāng)于人類的大腦，那么BIOS的職責(zé)就接近人體的植物神經(jīng)。電腦通電啟動(dòng)后第一個(gè)開始運(yùn)行的模塊就是BIOS，它引導(dǎo)各個(gè)組件如內(nèi)存、顯卡開始運(yùn)行，之后將控制權(quán)移交給正常啟動(dòng)的主操作系統(tǒng)。

老實(shí)的BIOS是字符化的，功能很少，啟動(dòng)速度緩慢且基本沒有擴(kuò)展能力。2010年開始名為UEFI的新式BIOS開始普及。UEFI相當(dāng)于一個(gè)現(xiàn)代化的微型操作系統(tǒng)，支持鼠標(biāo)和圖形化界面，可以管理許多硬件設(shè)備并且運(yùn)行速度較快。2010年后生產(chǎn)的PC基本都換上了UEFI。

潘多拉之盒

BIOS一般沒有安全防御措施。倘若一段惡意代碼被植入BIOS，則在主操作系統(tǒng)啟動(dòng)之前這段代碼即使開始運(yùn)行也不會(huì)被發(fā)現(xiàn)。不過(guò)一旦系統(tǒng)完成啟動(dòng)，代碼就很容易被系統(tǒng)安全軟件察覺并清除。用戶的敏感操作大多是在操作系統(tǒng)中完成的，所以如果BIOS病毒不能繞開操作系統(tǒng)的防御措施就不可能竊取用戶隱私。

然而安全專家發(fā)現(xiàn)了一條隱秘的通道可以讓惡意程序繞過(guò)操作系統(tǒng)的監(jiān)控措施：基于x86指令集的CPU都有一種叫做系統(tǒng)管理模式（SMM）的特殊運(yùn)行狀態(tài)，處于這種運(yùn)行狀態(tài)的程序?qū)Σ僮飨到y(tǒng)是透明的。惡意程序如果在系統(tǒng)管理模式下竊取電腦內(nèi)存中的敏感資料，安全軟件對(duì)此基本無(wú)能為力。

如果惡意程序在進(jìn)入SMM狀態(tài)之前就被反病毒程序發(fā)現(xiàn)，攻擊自然就失敗了。此次安全會(huì)議上，Xeno Kovah和Corey Kallenberg兩位專家展示的正是如何令病毒程序全程處于SMM狀態(tài)，徹底避開安全程序的掃描與監(jiān)控的方法。

他們發(fā)現(xiàn)了新一代BIOS：UEFI普遍存在一種漏洞，使得代碼可以被輕易植入其中。利用此種漏洞程序就可以在操作系統(tǒng)啟動(dòng)之前即開始以SMM狀態(tài)運(yùn)行，以“隱身”狀態(tài)偷取情報(bào)。不僅防火墻、殺毒軟件無(wú)法發(fā)現(xiàn)這類程序，就連專門設(shè)計(jì)的沙盤式安全系統(tǒng)都在新型竊賊面前如同裸奔。諸如瀏覽器安全控件、U盾之類的防御體系現(xiàn)在徹底失效了，更可怕的是除了更新BIOS外沒有辦法清除這種病毒——換掉硬盤都沒用。而且用戶根本不知道自己是否被入侵，自然也不會(huì)采取任何對(duì)應(yīng)措施。

本來(lái)這種UEFI的漏洞并不是通用的：不同的UEFI版本中的漏洞代碼不一樣，所以入侵者需要找到具體的代碼類型才能實(shí)施攻擊。但是幾大主板廠商多年來(lái)在UEFI固件中大量使用通用的代碼類型，導(dǎo)致數(shù)以千萬(wàn)計(jì)的PC的漏洞特征只有少數(shù)幾百個(gè)而已。只需要一段腳本就可以在極短時(shí)間內(nèi)分析出目標(biāo)計(jì)算機(jī)的漏洞類型并加以利用，過(guò)程毫不拖泥帶水。由于大多數(shù)使用者從來(lái)不會(huì)更新自己的BIOS，所以惡意程序一旦植入成功就幾乎不可能被清除。電腦中了這么一招就幾乎沒有安全性可言了，傳統(tǒng)的安全應(yīng)對(duì)策略——安全軟件、復(fù)雜密碼、U盾、隱藏文件夾……都成了自欺欺人的笑話。

對(duì)策

值得慶幸的是我們面對(duì)這可怕的威脅并非束手無(wú)策。首先，這種攻擊非常難以通過(guò)遠(yuǎn)程手段成功進(jìn)行：典型的，攻擊者需要獲得目標(biāo)系統(tǒng)的管理員權(quán)限，而這在當(dāng)今的網(wǎng)絡(luò)世界實(shí)在不是輕松的活計(jì)。只要用戶的管理員密碼沒有泄露或被破解，那么被秘密遠(yuǎn)程植入代碼是不太可能的。

當(dāng)然，傳統(tǒng)的釣魚郵件、惡意鏈接等攻擊方式依舊可以用來(lái)進(jìn)行木馬植入。一旦攻擊完成，殺毒軟件是不可能發(fā)現(xiàn)被安裝在UEFI的惡意程序的。所以面對(duì)陌生郵件、鏈接和網(wǎng)站還是要保持高度警惕，現(xiàn)在你的電腦事實(shí)上比以前更加脆弱了。

企業(yè)和政府部門尤其該注意這種全新的攻擊技術(shù)。雖然遠(yuǎn)程攻擊不太容易，但如果攻擊者能夠直接控制電腦那一切就輕而易舉了：僅需兩分鐘，一名沒什么電腦知識(shí)的攻擊者就可以按照簡(jiǎn)單的說(shuō)明輕松將木馬安裝到目標(biāo)系統(tǒng)中。從此以后這臺(tái)電腦就失去了所有的外衣，對(duì)黑客完全透明了。因此商業(yè)公司和政府部門現(xiàn)在應(yīng)該密切注意人員的權(quán)限管理，帶有敏感數(shù)據(jù)的電腦一定要杜絕低權(quán)限人員的接觸。

想要徹底解決這一前所未有的安全威脅的唯一方法是升級(jí)到打好補(bǔ)丁的最新版本BIOS固件。遺憾的是目前多數(shù)主板廠商還沒開始動(dòng)作，而媒體也缺乏對(duì)這一事件的關(guān)注程度。在利用這一漏洞的攻擊造成明顯的損失以前，多數(shù)人都不會(huì)對(duì)此有足夠的重視。這恰恰給了黑客和犯罪者更多的時(shí)間和機(jī)會(huì)。

希望

雖然威脅巨大，但這種針對(duì)BIOS的全新攻擊技術(shù)還是可以被徹底阻止的。如果主板廠商都發(fā)布了新版BIOS，大多數(shù)PC都升級(jí)到消除了漏洞的固件，黑客不再有可乘之機(jī)時(shí)世界就會(huì)恢復(fù)原有的平靜。升級(jí)BIOS并不是難事，重點(diǎn)在于廠商和用戶意識(shí)到威脅的存在并給予足夠的重視。如果缺乏警惕，即使是最小程度的安全威脅都有可能演變?yōu)閹?lái)巨大損失的風(fēng)暴，屆時(shí)亡羊補(bǔ)牢就為時(shí)已晚了。

雷峰網(wǎng)特約稿件，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。