- A+
这个攻击由编程专家TrammellHudson在德国汉堡举办的年度混沌计算机大会上展现,他证明这将使重写苹果Mac计算机固件成为可能。
这种攻击被命名为“Thunderstrike(雷击)”。它实际上利用了一个在ThunderboltOptionROM中有些历史的漏洞,该漏洞在2012年首次被发现但仍未修补。通过受感染的Thunderbolt设备在苹果电脑的bootROM中分配一段恶意程序,Thunderstrike将可以感染苹果可扩展固件接口(EFI)。
Bootkit:是更高级的Rootkit,该项目通过感染MBR(磁盘主引记录)的方式,实现绕过内核检查和启动隐身。可以认为,所有在开机时比Windows内核更早加载,实现内核劫持的技术,都可以称之为Bootkit。
UEFI:全称“统一的可扩展固件接口”(Unified Extensible Firmware Interface), 是一种详细描述类型接口的标准。这种接口用于操作系统自动从预启动的操作环境,加载到一种操作系统上。
一旦安装了这种名“雷击(Thunderstrike)”的恶意软件,它会替换Mac下的引导固件程序,以高优先级的指令获得系统控制权限。这款恶意软件(bootkit)可以绕过固件程序密码验证及硬盘密码验证,在操作系统启动时就预装上后门。
原因是该恶意软件取代了苹果的数字签名。本来Mac下运行的固件程序都需要数字签名进行授权,现在数字签名被替换了后也就没有了相应的限制。同时,当前很少有方法可以清理受恶意软件感染了的引导系统。目前
该恶意软件通过连接Mac机器Thunderbolt(雷电)接口的外接设备进行传播。当攻击者使用带有恶意软件的外接设备插入Mac机器中进行引导时,会把恶意OptionROM注入可扩展固件接口(EFI)。
OptionROM负责启用Mac系统的管理模式,并在系统加载前激活其他低级指令。它替换了Mac下的RSA密钥(key),使得不经过授权的固件程序也可以安装。这样的话,操控了生杀大权的Thunderbolt外接设备就可以随意往Mac安装恶意固件程序,没有新的key很难将它去除。
从表面上看,这种攻击行为需要短时间接触物理机,也许有童鞋会认为这种攻击实现难度比较高。
如何实施Thunderstrike式攻击呢?将恶意改装过的Thunderbolt设备插入Mac并将其重启就行。如果你碰到一台Mac机器开机后却发现存在密码校验机制,只需要按下电源键几秒钟对机器进行硬重启,固件密码、硬盘密码,以及用户密码等防护手段都将失效,因为OptionROMs在这些保护措施进行检测之前已经加载了。
2012年黑帽大会曾展示了一个绕过OSXFileVault保护,然后安装rootkit的攻击案例。Thunderstrike的实现与其比较相似。如Thunderstrike一般,那款2012年黑帽大会的exp也使用了Thunderbolt端口,对引导进程注入了恶意payload。但是,它却不能对引导ROM本身进行更改。为了绕过这一限制,研究人员写出了针对EFI系统分区的bootkit。
Thunderstrike的其中一个技术突破点,是其可以通过引导ROM固件卷的验证。Hudson在常规验证过程中发现一个未证明的CRC32循环冗余校验程序,正是从这个里面他得到了启发。第二次技术突破点,则是Hudson发现OptionROMs会在恢复引导模式进行加载。就是这两个突破,让Hudson想出了如何替换苹果的现有的EFI代码。
Thunderstrike只是在12月混沌通信大会上演示的基于EFI的攻击之一,该大会演示了至少演示了两个以上的同类型攻击。其中有一个
本周早些时候,美国CERT发布了关于使用UEFI的设备的三个漏洞的预警:
此外,安全公司Bromium的某名研究员在关于UEFI讨论中,也发布有短篇的
Hudson表示苹果公司只会在局部修补漏洞,正是这个情况造就了“雷击(Thunderstrike)”漏洞。想要补救该漏洞,就需要禁止OptionROMs在固件更新时进行加载。Hudson指出,这个措施能有效地遏制其目前发现的漏洞影响。苹果公司已经升级了MacMini和iMacRetina5k,而且打算尽量在短时间内向用户推广。
但是Hudson
在苹果提出完美修复方案之前,并没太多防御“雷击(Thunderstrike)”的可行方案。
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
