系统固件
系统固件用来作为操作系统和计算机硬件之间的软件接口, 示例有 BIOS(基本输入/输出系统)和统一可扩展固件接口(UEFI)或可扩展固件接口(EFI)
诸如 BIOS 和(U)EFI 之类的系统固件是计算机功能的基础,并且可以由攻击者修改以执行或协助恶意活动。存在覆盖系统固件的能力,这可能为复杂的攻击者提供安装恶意固件更新的手段,作为在可能难以检测的系统上持久化
缓解
防止攻击者访问特权帐户或执行此技术所需的资源。
检查现有 BIOS 或 EFI 的完整性,以确定其是否易于修改。
根据需要对 BIOS 和 EFI 打补丁。
使用可信平台模块技术。
检测
检测系统固件操作。 转储并检查易受攻击系统上的 BIOS 映像,并与已知的良好映像进行比较。 分析差异以确定是否与恶意更改。记录尝试读写 BIOS 的行为,并与已知的补丁进行比较。
同样,可以收集 EFI 模块,并将其与已知干净的 EFI 可执行二进制文件列表进行比较,以检测潜在的恶意模块。
可以使用 CHIPSEC 框架分析以确定固件是否被修改过。
- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论