计算机界的埃博拉病毒,你的电脑还好吗?
杀毒软件、防火墙、U盾……在植入系统BIOS的新型攻击技术面前,传统的安全防御体系彻底失效了。
在最近的CanSecWest安全大会上,两位安全专家展示了一种针对计算机基础固件——UEFI的攻击方式。长达81页的PPT向世人描绘了一幅恐怖的图景:可以绕过一切安全软件、密码控件,无法被发现,即便更换硬盘重装系统都不可能清除的超级病毒,如今可以通过简单的方式侵入全球数以千万计的PC。更可怕的是,几乎无人对这种威胁表现出真正的重视态度。
背景
我们使用的PC都安装有被叫做BIOS的硬件模块。BIOS是系统最底层的控制系统,负责管理基本的硬件功能。如果说常见的操作系统如Windows、OS X、Linux相当于人类的大脑,那么BIOS的职责就接近人体的植物神经。电脑通电启动后第一个开始运行的模块就是BIOS,它引导各个组件如内存、显卡开始运行,之后将控制权移交给正常启动的主操作系统。
老实的BIOS是字符化的,功能很少,启动速度缓慢且基本没有扩展能力。2010年开始名为UEFI的新式BIOS开始普及。UEFI相当于一个现代化的微型操作系统,支持鼠标和图形化界面,可以管理许多硬件设备并且运行速度较快。2010年后生产的PC基本都换上了UEFI。
潘多拉之盒
BIOS一般没有安全防御措施。倘若一段恶意代码被植入BIOS,则在主操作系统启动之前这段代码即使开始运行也不会被发现。不过一旦系统完成启动,代码就很容易被系统安全软件察觉并清除。用户的敏感操作大多是在操作系统中完成的,所以如果BIOS病毒不能绕开操作系统的防御措施就不可能窃取用户隐私。
然而安全专家发现了一条隐秘的通道可以让恶意程序绕过操作系统的监控措施:基于x86指令集的CPU都有一种叫做系统管理模式(SMM)的特殊运行状态,处于这种运行状态的程序对操作系统是透明的。恶意程序如果在系统管理模式下窃取电脑内存中的敏感资料,安全软件对此基本无能为力。
如果恶意程序在进入SMM状态之前就被反病毒程序发现,攻击自然就失败了。此次安全会议上,Xeno Kovah和Corey Kallenberg两位专家展示的正是如何令病毒程序全程处于SMM状态,彻底避开安全程序的扫描与监控的方法。
他们发现了新一代BIOS:UEFI普遍存在一种漏洞,使得代码可以被轻易植入其中。利用此种漏洞程序就可以在操作系统启动之前即开始以SMM状态运行,以“隐身”状态偷取情报。不仅防火墙、杀毒软件无法发现这类程序,就连专门设计的沙盘式安全系统都在新型窃贼面前如同裸奔。诸如浏览器安全控件、U盾之类的防御体系现在彻底失效了,更可怕的是除了更新BIOS外没有办法清除这种病毒——换掉硬盘都没用。而且用户根本不知道自己是否被入侵,自然也不会采取任何对应措施。
本来这种UEFI的漏洞并不是通用的:不同的UEFI版本中的漏洞代码不一样,所以入侵者需要找到具体的代码类型才能实施攻击。但是几大主板厂商多年来在UEFI固件中大量使用通用的代码类型,导致数以千万计的PC的漏洞特征只有少数几百个而已。只需要一段脚本就可以在极短时间内分析出目标计算机的漏洞类型并加以利用,过程毫不拖泥带水。由于大多数使用者从来不会更新自己的BIOS,所以恶意程序一旦植入成功就几乎不可能被清除。电脑中了这么一招就几乎没有安全性可言了,传统的安全应对策略——安全软件、复杂密码、U盾、隐藏文件夹……都成了自欺欺人的笑话。
对策
值得庆幸的是我们面对这可怕的威胁并非束手无策。首先,这种攻击非常难以通过远程手段成功进行:典型的,攻击者需要获得目标系统的管理员权限,而这在当今的网络世界实在不是轻松的活计。只要用户的管理员密码没有泄露或被破解,那么被秘密远程植入代码是不太可能的。
当然,传统的钓鱼邮件、恶意链接等攻击方式依旧可以用来进行木马植入。一旦攻击完成,杀毒软件是不可能发现被安装在UEFI的恶意程序的。所以面对陌生邮件、链接和网站还是要保持高度警惕,现在你的电脑事实上比以前更加脆弱了。
企业和政府部门尤其该注意这种全新的攻击技术。虽然远程攻击不太容易,但如果攻击者能够直接控制电脑那一切就轻而易举了:仅需两分钟,一名没什么电脑知识的攻击者就可以按照简单的说明轻松将木马安装到目标系统中。从此以后这台电脑就失去了所有的外衣,对 黑客 完全透明了。因此商业公司和政府部门现在应该密切注意人员的权限管理,带有敏感数据的电脑一定要杜绝低权限人员的接触。
想要彻底解决这一前所未有的安全威胁的唯一方法是升级到打好补丁的最新版本BIOS固件。遗憾的是目前多数主板厂商还没开始动作,而媒体也缺乏对这一事件的关注程度。在利用这一漏洞的攻击造成明显的损失以前,多数人都不会对此有足够的重视。这恰恰给了黑客和犯罪者更多的时间和机会。
希望
虽然威胁巨大,但这种针对BIOS的全新攻击技术还是可以被彻底阻止的。如果主板厂商都发布了新版BIOS,大多数PC都升级到消除了漏洞的固件,黑客不再有可乘之机时世界就会恢复原有的平静。升级BIOS并不是难事,重点在于厂商和用户意识到威胁的存在并给予足够的重视。如果缺乏警惕,即使是最小程度的安全威胁都有可能演变为带来巨大损失的风暴,届时亡羊补牢就为时已晚了。