88coco【揭秘:深入解读针对苹果Mac电脑的ROM级恶意软件“雷击(Thunderstrike)” 】—-死神之裁决,自动赚钱,游戏陪玩平台,孕妇做什么工作合适

网络干货 litianseo 5个月前 (07-07) 43次浏览 已收录 0个评论

正文:

  揭秘:深入解读针对苹果 Mac 电脑的 ROM 级恶意软件“雷击(Thunderstrike)”  
众所周知苹果 Mac 电脑很安全,但是随着恶意软件的发展,凭借现有 Mac 安全机制想要完全对抗恶意软件的感染可能会变得更加艰难。近期一种新型恶意软件的问世,使得黑客通过短暂的物理接触,让 2011 年以后生产的苹果 Mac 电脑感染 ROM 级恶意程序。
背景

近日,安全研究人员发现一种让苹果电脑感染 ROM 级恶意程序的方法。
这个攻击由编程专家 Trammell Hudson 在德国汉堡举办的年度混沌计算机大会上展现,他证明这将使重写苹果 Mac 计算机固件成为可能。
这种攻击被命名为“Thunderstrike(雷击)”。它实际上利用了一个在 ThunderboltOption ROM 中有些历史的漏洞,该漏洞在 2012 年首次被发现但仍未修补。通过受感染的 Thunderbolt 设备在苹果电脑的 boot ROM 中分配一段恶意程序,Thunderstrike 将可以感染苹果可扩展固件接口(EFI)。查看更多信息点我
FreeBuf 小科普(本文涉及的专有名词解释)
Thunderbolt(雷电)接口:英特尔在 2009 年设计完成的某种接口,替代并统一目前电脑上数量繁多性能参差不齐的扩展接口。雷电接口形状与 MiniDisplayport 一样,并且可以对其兼容。其理论最高传输速度可达单向 10Gbps,是 USB 3.0 规范的 2 倍。并且在未来会提供对存储设备的支持,可以大幅提升传输带宽。 
该技术由苹果和 Intel 共同开发、推广,苹果新款 MacBook Pro 中便使用了全新的 Intel 雷电技术。

Option ROM:PCI Option ROM 又叫 PCI Expansion ROM。 它是用于设备初始化和系统 boot 的 code。有的 PCI Option ROM 被存放在板卡上,而有的则保存在 BIOS 的 binary 里面。
Bootkit:是更高级的 Rootkit,该项目通过感染 MBR(磁盘主引记录)的方式,实现绕过内核检查和启动隐身。可以认为,所有在开机时比 Windows 内核更早加载,实现内核劫持的技术,都可以称之为 Bootkit。
循环冗余校验算法:要计算 n 位的 CRC 值,将待 CRC 的数据左移 n 位(即在其最右端添加 n 个 0),如果待 CRC 数据的最高位为 0,不进行任何操作,否则将其与事先设定好的除数(divisor)进行异或操作,然后将除数右移一位。重复上述两个操作直到除数到达待 CRC 数据的右端。
EFI 可扩展固件接口:(英文名 Extensible Firmware Interface 或 EFI)是由英特尔,一个主导个人电脑技术研发的公司推出的一种在未来的类 PC 的电脑系统中替代 BIOS 的升级方案。UEFI:全称“统一的可扩展固件接口”(Unified Extensible Firmware Interface), 是一种详细描述类型接口的标准。这种接口用于操作系统自动从预启动的操作环境,加载到一种操作系统上。
恶意软件“雷击(Thunderstrike)”
原理:
一旦安装了这种名“雷击(Thunderstrike)”的恶意软件,它会替换 Mac 下的引导固件程序,以高优先级的指令获得系统控制权限。这款恶意软件(bootkit)可以绕过固件程序密码验证及硬盘密码验证,在操作系统启动时就预装上后门。
该恶意软件安装以后,将独立于操作系统和硬盘驱动,因此格式化硬盘和重装操作系统也拿它没办法。
原因是该恶意软件取代了苹果的数字签名。本来 Mac 下运行的固件程序都需要数字签名进行授权,现在数字签名被替换了后也就没有了相应的限制。同时,当前很少有方法可以清理受恶意软件感染了的引导系统。目前这个概念首次在 OS X 平台提出,暂时在真实环境下并没有发现这样的攻击实例,现有的技术也没法对这类攻击进行精确检测。
传播方式:
该恶意软件通过连接 Mac 机器 Thunderbolt(雷电)接口的外接设备进行传播。当攻击者使用带有恶意软件的外接设备插入 Mac 机器中进行引导时,会把恶意 Option ROM 注入可扩展固件接口(EFI)。
Option ROM 负责启用 Mac 系统的管理模式,并在系统加载前激活其他低级指令。它替换了 Mac 下的 RSA 密钥(key),使得不经过授权的固件程序也可以安装。这样的话,操控了生杀大权的 Thunderbolt 外接设备就可以随意往 Mac 安装恶意固件程序,没有新的 key 很难将它去除。
如何实施攻击
从表面上看,这种攻击行为需要短时间接触物理机,也许有童鞋会认为这种攻击实现难度比较高。
但事实未必如此,现实中仍然有很多攻击机会:比如,某名不怀好意的酒店服务人员可能有机会接触你的电脑,海关陆卡的人员也有很多机会接触他人电脑。前 NSA 员工斯诺登泄密的文档里也显示,从事美国情报工作的相关人员会拦截那些运往目标组织的设备硬件,在中途悄悄将修改过的固件程序装上去。
如何实施 Thunderstrike 式攻击呢?将恶意改装过的 Thunderbolt 设备插入 Mac 并将其重启就行。如果你碰到一台 Mac 机器开机后却发现存在密码校验机制,只需要按下电源键几秒钟对机器进行硬重启,固件密码、硬盘密码,以及用户密码等防护手段都将失效,因为 Option ROMs 在这些保护措施进行检测之前已经加载了。
“雷击(Thunderstrike)”的历史
Thunderstrike 在去年 12 月下旬于混沌通信大会亮相。该漏洞由 Trammell Hudson 发现,这名安全研究员供职于纽约一家名为 Two Sigma Investments 的高科技对冲基金公司。当初发现这个漏洞时,他只是试图对公司的 Mac 笔记本进行安全加固。Hudson 自称为一名逆向爱好者,以前曾以创建佳能单反相机的开源编程扩展包 Magic Lantern 而出名。
2012 年黑帽大会曾展示了一个绕过 OS X FileVault 保护,然后安装 rootkit 的攻击案例。Thunderstrike 的实现与其比较相似。如 Thunderstrike 一般,那款 2012 年黑帽大会的 exp 也使用了 Thunderbolt 端口,对引导进程注入了恶意 payload。但是,它却不能对引导 ROM 本身进行更改。为了绕过这一限制,研究人员写出了针对 EFI 系统分区的 bootkit。
Thunderstrike 的其中一个技术突破点,是其可以通过引导 ROM 固件卷的验证。Hudson 在常规验证过程中发现一个未证明的 CRC32 循环冗余校验程序,正是从这个里面他得到了启发。第二次技术突破点,则是 Hudson 发现 Option ROMs 会在恢复引导模式进行加载。就是这两个突破,让 Hudson 想出了如何替换苹果的现有的 EFI 代码。
Thunderstrike 只是在 12 月混沌通信大会上演示的基于 EFI 的攻击之一,该大会演示了至少演示了两个以上的同类型攻击。其中有一个话题单独剖析了可扩展固件接口(UEFI),讨论了如何使用相似的机制用来引导启动某些 Win 或者 Linux 机器。Hudson 表示,有一种名为黑暗绝地(Dark Jedi)的技术,黑客不需要进行物理接触,只需要远程实施攻击。
本周早些时候,美国 CERT 发布了关于使用 UEFI 的设备的三个漏洞的预警:
http://www.kb.cert.org/vuls/id/976132http://www.kb.cert.org/vuls/id/766164 http://www.kb.cert.org/vuls/id/533140
此外,安全公司 Bromium 的某名研究员在关于 UEFI 讨论中,也发布有短篇的 writeup。
漏洞作者的建议
Hudson 表示苹果公司只会在局部修补漏洞,正是这个情况造就了“雷击(Thunderstrike)”漏洞。想要补救该漏洞,就需要禁止 Option ROMs 在固件更新时进行加载。Hudson 指出,这个措施能有效地遏制其目前发现的漏洞影响。苹果公司已经升级了 Mac Mini 和 iMac Retina 5k,而且打算尽量在短时间内向用户推广。
但是 Hudson 指出,苹果的这次升级并非一个完美的解决方案。Option ROMs 仍然实行的是普通引导模式,所以 2012 年的那种攻击手法仍然能够起效,导致老版 Mac 在更新固件版本后反而会受到该类攻击。
在苹果提出完美修复方案之前,并没太多防御“雷击(Thunderstrike)”的可行方案。
也许在 Thunderbolt 端口浇上大量的环氧树脂胶确实会增加攻击难度,这样的话黑客不得不拆开外壳才能才能接触到底层的 Flash ROM 芯片。但是毕竟这是以禁用关键的功能为代价的……另一个不靠谱的解决方案,就是让电脑主人寸步不离机器,不过就算放在酒店保险箱和储物盒密封,也总会有被人进行物理接触的可能。
[参考来源 arstechnica,由 FreeBuf 小编 dawner 翻译整理,如有编译不正确的地方,请点击文章下方的“文章纠错”。转载请注明来自 FreeBuf 黑客与极客(FreeBuf.COM)]88coco,死神之裁决

———————————-

相关阅读:
自动赚钱,游戏陪玩平台,老光棍狂躁小寡妇的性欢日记 奶大 B 紧 17p 乡村寡妇巨棒

  汤绽梅
一向冷若冰霜另外天雪也顶不住了,胸前竟然还被怀中小家伙捏了捏,刚 www.457nkyy.com 忙想找地方丢却发现公孙馨月与蒂娜早已跑开了……
  【汉志】

  【西汉书】{伪原创 www.xianxinbing.cn 间隔符}壮阳药孕妇做什么工作合适


喜欢 (0)
[576801182@qq.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址