CIA泄漏后,英特尔安全发布了EFI Rootkits的检测工具
英特尔安全发布了一个工具,允许用户检查其计算机的低级系统固件是否已被修改并包含未授权的代码。
在周二泄露CIA文件后,该发布显示,该机构已为Apple“的MacBooks开发了EFI(可扩展固件界面)rootkits。rootkit是一种以高权限运行的恶意程序 - 通常在内核中 - 并隐藏其他恶意组件和活动的存在。
中央情报局嵌入式开发分支机构(EDB)的文件提到了一个OS X“植入物”称为DERSTARKE,其中包括一个被称为Bokor的内核代码注入模块和称为Darkmatter的EFI持久模块。
EFI,也称为UEFI(Unified EFI),是在操作系统之前运行的低级固件,并在系统引导过程中初始化各种硬件组件。它在现代计算机中更换了较旧的,更基本的BIOS,并类似于迷你操作系统。它可以具有数百个“程序”,以实现作为可执行二进制文件的不同功能。
隐藏在EFI内部的恶意程序可以将恶意代码注入OS内核,并可以恢复已从计算机中删除的任何恶意软件。这允许rootkits生存主要系统更新甚至重新安装。
除了Darkmatter之外,CIA EDB文件中还有一个名为夸克的第二个项目,该文件也被描述为“Mac OS X EFI植入物,它使用存储在EFI系统分区上的EFI驱动程序来提供持久性的核心植入物。”
英特尔安全的高级威胁研究团队为其现有的Chipsec开源框架创建了一个新的模块,用于检测流氓EFI二进制文件。Chipsec由一组命令行工具组成,该工具使用低级接口来分析系统的硬件,固件和平台组件。它可以从Windows,Linux,MacOS,甚至来自EFI shell运行。
新的Chipsec模块允许用户从计算机制造商中拍摄干净的EFI映像,提取其内容并在内部的二进制文件的白名单中提取。然后,它可以将该列表与系统的当前EFI或以前从系统中提取的EFI图像进行比较。
如果该工具查找Don“T匹配清洁EFI列表的任何二进制文件,则可能已感染固件。列出了流氓文件,然后可以进一步分析。
“我们建议在购买系统后或当然没有被感染后生成EFI”白名单“,”英特尔安全研究人员在博客文章中表示。“然后定期检查系统上的EFI固件,或者随时关注,例如当笔记本电脑无人看管时。”
Apple的支持网站上提供各种MAC和MacBook版本的EFI固件更新。