攻击向量(attack vector)指的是黑客用来攻击计算机或者网络服务器的一种手段,攻击向量能够帮助黑客寻找系统可能存在的任何漏洞,包括人为因素,攻击向量简单理解就是网络渗透攻击的各种维度,如通过病毒,电子邮件,网页,聊天室等配合社工欺骗方法来完成。
从泄露代码来看,Hacking Team有自己完善一套攻击向量,有许多维度,如Bios Rootkit攻击,ipa攻击,java applet挂马,假文档图标欺骗,短信欺骗,光盘或U盘存储介质攻击。技术与非技术完美配合,来实现RCS远程控制功能。
以下从Bios Rootkit攻击向量进行分析。
一、攻击场景
想像类似著名电影《碟中谍》的场景。XX黑客组织为了入侵A机构的网络系统,决定派遣一个卧底(wd)进入A机构。突破重重困难,最终wd以一名记者身份得以采访A机构领导,进入了领导的办公室,谈笑间,领导离开一会儿,wd立即警惕起来,盯紧领导的办公桌的电脑,连忙掏出U盘,开机,进入bios,种下Bios Rootkit后门病毒,熟练连贯的操作。三分钟的时间,神不知鬼不觉的,A机构网络系统已经被从内部打开了一个缺口,而且是一个检测极困难的后门……
场景像拍电影,有点夸张。实际上并不能排除可能性,Bios Rootkit通过物理的接触,如通过U盘,进行感染。 这样的场景可以延伸出来,或发生在电脑维修店、二手电脑、网吧、学校电脑室等。
Bios Rootkit是比较高水平的技术,检测很困难。在泄露的源码中,因此更多的人可以从这基础上衍生更多的Bios Rootkit病毒,降低了技术门槛。
二、Bios Rootkit感染方式
HT内部泄露文档介绍,Bios Rootkit是通过U盘,进入UEFI Shell进行感染。要求目标系统cup Intel i3/i5/i7(2,3,4代),bios uefi。
Bios Rootkit的感染方式,决定传播广度有限,但从网络渗透来说,绝对是一个可靠的突破口。目前还没资料证明Bios Rootkit其它感染方式,但并不能排除可能性。
泄露的文档资料:
三、示意图
Bios Rootkit有三个模块:rkloader.mod,dropper.mod和ntfs.mod,攻击示意图如下:
在攻击时,插入U盘,进行UEFI Shell,Startup.nsh引导启动chipsec.efi,然后chipsec.efi把三个.mod模块写到Bios ROM上去,重启电脑时,Bios Rootkit就开始干活了。
四、Bios Rootkit分析
1、UEFI结构
UEFI使用了模块化设计,类似windows操作系统,UEFI Image(UEFI实体)有EFI Driver(驱动),EFI Application(应用程序),os Loader(操作系统引导程序),如下图。
EFI Driver和EFI Application是FFS结构,安装UDK(UEFI开发包),使用C语言,遵循接口,就可以开发EFI程序。
EFI程序开发必须要有.inf定义文件,定义应用名,guid,程序类型(应用或驱动),入口点,源码文件,依赖库等,其中GUID是模块的标识,bios系统是以GUID来标识程序。
<详细技术报告请点击最下方“阅读原文”>
五、防御与检测
防御:
1、开启UEFI SecureFlash;
2、及时更新BIOS修复安全漏洞;
3、设置BIOS/UEFI密码。