欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

谍影追踪:全球首例UEFI_BIOS木马分析

来源:本站整理 作者:佚名 时间:2017-04-26 TAG: 我要投稿

0x00 简介 

不久前,广州网友李先生向360安全中心求助,反映他的电脑系统自动创建名为aaaabbbb的陌生账号,杀毒软件反复报毒,即使重装系统仍然无法清除病毒。

经过360工程师远程协助的初步判断,李先生电脑主板BIOS很可能感染了恶意代码。为此,我们请李先生把主板邮寄到360公司北京总部进行分析,发现这是一种前所未见的新型BIOS BOOTKIT。由于它会在系统中设置间谍账号进行远程控制,我们将其命名为谍影木马。

与以往的BIOS恶意代码相比,谍影木马具有更强的兼容性和更高的技术水平:

一、全球首例感染UEFI主板的真实攻击。谍影木马支持的BIOS版本非常多,是目前已知的唯一能够感染UEFI主板的木马。谍影木马会感染UEFI兼容模式的BIOS引导模块,UEFI+GPT模式不受影响。在此前2011年出现的BMW BIOS木马(国外厂商命名为Mebromi),则仅支持感染特定的Award BIOS;

二、系统兼容性强,支持所有主流的32位和64位Windows平台,包括最新的64位Win10。

图:64位Win10感染谍影木马触发微软PATCH GUARD 导致反复蓝屏  

据了解,李先生是由网店购买的此二手主板。根据网络搜索谍影木马的中招现象,李先生的遭遇也并非个例。从现有样本推测,恶意代码可能是由编程器刷入主板BIOS,通过电商渠道贩卖流通。

鉴于主板结构的复杂性和特殊性,现阶段只有重刷BIOS才能够彻底清除谍影木马。以下是对谍影木马技术原理的详细分析。

0x01 BIOS与UEFI

BIOS是英文"Basic Input Output System"的缩略词,直译过来后中文名称就是"基本输入输出系统"。其实,它是一组固化到计算机内主板上一个ROM芯片上的程序,它保存着计算机最重要的基本输入输出的程序、系统设置信息、开机后自检程序和系统自启动程序。优先于操作系统执行,负责加载执行MBR代码,其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。

UEFI ( Unified Extensible Firmware Interface )全称“统一的可扩展固件接口”,是一种新的主板引导项,正被看成是有近 20 多年历史的 BIOS 的继任者,自 Win8 以来得到了微软的力推。 UEFI号称通过保护预启动或预引导进程,可以抵御 Bootkit 攻击,相比 BIOS 具有更高的安全性。

0x02技术分析

2.1  CSM模块分析 

木马位于BIOS文件中,主板为ASUS 华硕的 B85M-G-ASUS-0904。和正常的BIOS不同之处,在于木马主板的CSMCORE模块比正常的要大。应该只能在LEGACY MODE下有效,而通过UEFI启动的应该无效。(CSM(Compatibility support Module)表示兼容模块,该选项专为兼容只能在legacy模式下工作的设备以及不支持或不能完全支持UEFI的操作系统而设置。)

木马在该 BIOS 模块中,加入了自己的功能,挂钩系统了正常函数来执行。

正常的函数如下:

木马挂钩了该函数改为:

将原有函数的第一条指令改为 CALL ,从而获得执行机会:

之后其会判断 R9 寄存器所指内容是否为 3 ,可能是 BIOS 初始化成功的一个标志,然后搜索 BIOS 内部特征码 CD 19 B8 00 80 CB 00

应该是 BIOS 内部初始化后,调用中断 INT19H 实现加载硬盘第一个扇区 MBR 执行的代码。然后修改 0X413 处的数据,预留 40KB 空间,用来存放木马代码,并将 BIOS 内的代码拷贝到该预留空间。并将前面找到的 BIOS 内部初始化后,调用中断 INT19H 实现加载硬盘第一个扇区 MBR执行的代码,改为调用木马自身的代码。

2.2  INT15 挂钩分析

然后,返回继续执行,当执行到 BIOS 初始化好,准备加载磁盘 MBR 代码的时候,就会执行木马的代码。木马这时候会挂接 INT15H 中断,然后恢复执行原来的代码,这样就完成了挂钩,后续就和暗云系列的 MBR 木马相似,通过挂钩 INT15H 来一步一步的挂钩内存,加载自身。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载