圖片來源: 

Hacking Team宣傳影片截圖

趨勢科技從Hacking Team外洩的文件研究發現,該公司使用了UEFI BIOS rootkit來確保遠端控制系統(Remote Control System,RCS)的客戶端程式被安裝在目標系統上,意味著被駭的電腦不論是格式化硬碟或重新安裝作業系統,甚至就算換一顆新的硬碟,也逃不過被監控的命運。

Hacking Team的遠端控制系統允許客戶自遠端監控或掌控目標裝置,強調使用者看不到它的存在,得以躲避防毒軟體與防火牆,而且也不會影響裝置的效能或電池壽命。

趨勢科技揭露了Hacking Team所使用的手法為UEFI BIOS rootkit,相關的簡報指出,客戶必須能實際接觸目標系統,將系統重新開機以進入UEFI(Unified Extensible Firmware Interface,統一可延伸韌體介面),然後轉存BIOS,再安裝BIOS rookit,刷新BIOS,然後重新啟動系統。

Hacking Team也開發了BIOS rootkit的協助工具,在安裝的時候會將3個模組複製到修改過的UEFI BIOS中,它們分別是允許UEFI BIOS讀寫NFTS檔案的Ntfs.mod、在系統開機時呼叫植入功能的Rkloader.mod,以及內含RCS客戶端程式的dropper.mod。

因此,目標系統在被安裝了BIOS rootkit之後,在每次重新啟動電腦時便會自動檢查RCS客戶端程式的存在與否,若已不存在即會再安裝一次。

趨勢科技表示,Hacking Team為頗受歡迎的筆電BIOS品牌「系微」(Insyde)產品撰寫了專用的程序,但此一程式可能也適用於AMI BIOS,雖然簡報顯示必須接觸實際目標系統,但無法排除具有遠端安裝能力的可能性。

趨勢建議使用者啟用UEFI SecureFlash保護機制,並在必要時更新BIOS,或是設定BIOS或UEFI密碼,另也建議企業購買含有BIOS寫入硬體保護機制的伺服器。(編譯/陳曉莉)

熱門新聞


Advertisement