CIA泄漏后,英特尔安全发布了EFI Rootkits的检测工具
Nexsan为混合云归档添加了Assureon云转移
Technicolor加快了电影制作,使用Excelero NVME Flash
纽卡斯尔委员会在英国炫耀最智能街道
NHS数据泄露导致了150,000名患者的细节
伦敦科技周专家建议初创投资者在投球前研究投资者的背景
雷诺的电动雷则概念是路的赛车
新泄露的文件显示低级CIA Mac和iPhone黑客
企业在MWC进入5G聚光灯
NCSC在Dixons Carphone Breach后敦促行动
AWS责备星期二的中断
Devops在APAC中收集速度
调查人员关闭诺基亚敲诈勒索而不找到动机或逮捕
在Cyber​​attacks,ISPS尝试清理互联网
8x8的Sameroom收购是关于跨平台协作的
英特尔追求新芯片,因为它会绘制可带有可持续发展的未来
SAP Q2 2018:云收入显示势头,600多个S / 4客户
Mingis关于Tech:潜入Windows 10创作者的更新和ONS的未来
灾难恢复:您的业​​务如何设置以生存中断?
英特尔将与运营商批准的董事会带来物联网复杂性
BT的Gavin Patterson在股东压力下退出
随着违规崛起,零售网络安全支出无效
Stagecoach试验全尺寸无人驾驶公共汽车
Facebook准备好为GDPR说,Zuckerberg说
随着多云的需求,在上提下的内部企业数据中心投资
确认的:Windows 10更新KB 4013429中断Microsoft Dynamics CRM 2011
阿鲁巴的顶级执行谈新技术,物联网和比赛
联想创新与标签4 Android平板电脑休息
Google Cloud CEO Diane Greene关于其企业准备的推动如何偿还
犯罪戒指使用亚马逊,eBay销售被盗的打印机墨水
松弛虫为一个可以窃取用户访问的黑客铺平了道路
谷歌为吸引用户提供新的“始终免费”云层
如何为APAC企业的“Splunking”数据
Carrenza将公共部门的足迹扩展到ARK数据中心
关于Apple的A11 iPhone处理器需要了解的6件事
Microsoft以独家Skype Lite应用程序寻求印度客户
高级网络支持Northampton Uni的新学习模型
中兴通讯向美国支付8920万美元的定居点对伊朗的非法销售
TicketMaster警告第三方数据泄露
希思罗机廊航班因其故障而接通
英国技术启动希望企业分享剩余计算能力以运行其云
Interxion在马赛中扩展了马赛的托管足迹与第二个数据中心开放
ico说,GDPR首先把人们放在第一位
Commerzbank创建了基于Hadoop的业务熟练洞察平台
谷歌在休闲闲逛后与环聊大修
Microsoft警告了一封电子邮件是否被送出办公时间
英国在一些航班上遵循美国舱室里的电子设备
CIA黑客工具瞄准窗户
英国在一些航班上遵循美国在舱室里的电子设备
符号指出Windows 10 Creators更新的最终确定
您的位置:首页 >科技 > 物联科技 >

CIA泄漏后,英特尔安全发布了EFI Rootkits的检测工具

2021-08-09 14:44:09 [来源]:

英特尔安全发布了一个工具,允许用户检查其计算机的低级系统固件是否已被修改并包含未授权的代码。

在周二泄露CIA文件后,该发布显示,该机构已为Apple“的MacBooks开发了EFI(可扩展固件界面)rootkits。rootkit是一种以高权限运行的恶意程序 - 通常在内核中 - 并隐藏其他恶意组件和活动的存在。

中央情报局嵌入式开发分支机构(EDB)的文件提到了一个OS X“植入物”称为DERSTARKE,其中包括一个被称为Bokor的内核代码注入模块和称为Darkmatter的EFI持久模块。

EFI,也称为UEFI(Unified EFI),是在操作系统之前运行的低级固件,并在系统引导过程中初始化各种硬件组件。它在现代计算机中更换了较旧的,更基本的BIOS,并类似于迷你操作系统。它可以具有数百个“程序”,以实现作为可执行二进制文件的不同功能。

隐藏在EFI内部的恶意程序可以将恶意代码注入OS内核,并可以恢复已从计算机中删除的任何恶意软件。这允许rootkits生存主要系统更新甚至重新安装。

除了Darkmatter之外,CIA EDB文件中还有一个名为夸克的第二个项目,该文件也被描述为“Mac OS X EFI植入物,它使用存储在EFI系统分区上的EFI驱动程序来提供持久性的核心植入物。”

英特尔安全的高级威胁研究团队为其现有的Chipsec开源框架创建了一个新的模块,用于检测流氓EFI二进制文件。Chipsec由一组命令行工具组成,该工具使用低级接口来分析系统的硬件,固件和平台组件。它可以从Windows,Linux,MacOS,甚至来自EFI shell运行。

新的Chipsec模块允许用户从计算机制造商中拍摄干净的EFI映像,提取其内容并在内部的二进制文件的白名单中提取。然后,它可以将该列表与系统的当前EFI或以前从系统中提取的EFI图像进行比较。

如果该工具查找Don“T匹配清洁EFI列表的任何二进制文件,则可能已感染固件。列出了流氓文件,然后可以进一步分析。

“我们建议在购买系统后或当然没有被感染后生成EFI”白名单“,”英特尔安全研究人员在博客文章中表示。“然后定期检查系统上的EFI固件,或者随时关注,例如当笔记本电脑无人看管时。”

Apple的支持网站上提供各种MAC和MacBook版本的EFI固件更新。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。