Top
首页 > 网络和信息安全 > 安全情报站 > 正文

维基解密后,英特尔发布安全版本检测工具CHIPSEC用于检测CIA EFI rootkit

CIA泄露后,英特尔安全公司发布了CHIPSEC,一个用于检测计算机固件内的流氓二进制文件的EFI rootkit的检测工具。
发布时间:2017-03-14 10:54        来源:securityaffairs        作者:

CIA泄露后,英特尔安全公司发布了CHIPSEC,一个用于检测计算机固件内的流氓二进制文件的EFI rootkit的检测工具。

几天前,维基解密宣布它正在与软件制造商合作,以修复Vault7转储中零日漏洞,影响他们的产品和服务。该组织正在与他们共享关于Vault7转储中包含的黑客工具的信息,而IT供应商已经在努力解决这些问题。

为响应CIA数据泄露,Intel Security发布了一个工具,允许用户检查其计算机的固件是否已被修改并包含未经授权的代码。

挖掘CIA存档的专家发现,原子能机构的黑客已经为苹果的MacBook开发了EFI(可扩展固件接口)rootkit。

CIA嵌入式开发分支(EDB)组的开发人员设计了一个名为DerStarke的OS X“植入” ,在称为Bokor的模块中实现内核代码注入机制,并使用称为Dark Matter的EFI持久性模块。

在UEFI(统一EFI)取代了现代计算机BIOS的话,那就是在引导过程中运行,只是操作系统之前初始化计算机的底层固件。

它由在现代计算机中实现不同特征的大量“应用程序”组成。

Secure-boot-uefi

在EFI中以隐藏方式运行的恶意软件能够绕过任何安全机制,并将恶意代码插入到操作系统内核中,它还会在受感染的机器上持久化,从而允许rootkit在重新启动,系统更新甚至是重新安装操作系统。

阅读文档可以发现由CIA EDB开发的另一个项目,名为QuarkMatter,它是一个“Mac OS X EFI植入,它使用存储在EFI系统分区上的EFI驱动程序为任意内核植入提供持久性。

现在英特尔安全公司的高级威胁研究团队为其现有的CHIPSEC开源框架设计了一个新模块,该模块能够检测恶意EFI二进制文件。“CHIPSEC是一个用于分析PC平台(包括硬件,系统固件(BIOS / UEFI)和平台组件)的安全性的框架。它包括一个安全测试套件,用于访问各种低级接口的工具,以及取证功能。“读取框架的描述”。它可以在Windows,Linux,Mac OS X和UEFI shell上运行。安装和使用说明CHIPSEC 可以在手册(中找到 chipsec -manual,PDF)。“ CHIPSEC  是使用低级别的接口来分析系统的硬件,固件的命令行工具的集合,和平台components.The新CHIPSEC模块允许用户从制造商处获取一个干净的EFI映像,提取其内容并构建其包含的文件的白名单。

CHIPSEC允许用户将上述列表与组成系统当前EFI的二进制文件列表或先前从系统提取的EFI图像进行比较。

专题访谈

合作站点
stat