恶意软件
BIOS 根套件
别称: 传统固件 Rootkit
定义
感染传统 BIOS 固件的 Rootkit,在操作系统启动前执行,实现位于操作系统下层的深度驻留。
BIOS 根套件会修改传统的基本输入输出系统(BIOS)——这是在 UEFI 普及前 x86 系统所使用的固件——以便在引导早期获得控制权。由于 BIOS 在任何操作系统保护机制之前运行,Rootkit 能够禁用安全工具、隐藏其他恶意软件,并在系统重装后再次感染。成功植入通常需要内核权限以刷写芯片、错误配置的写保护或供应链层面的访问。常见防御包括迁移到带有 Secure Boot 的 UEFI、厂商提供的写保护机制、签名的固件更新、BIOS 写保护功能、固件完整性证明,以及硬件的物理与供应链管控。现代系统中 BIOS 根套件已基本被 UEFI 植入物所取代。
示例
- 早期 BIOS 根套件 Mebromi 从系统固件中重新植入恶意软件。
- 类 Computrace 防盗模块被滥用作为驻留机制。
相关术语
UEFI 根套件
植入 UEFI 固件中的 Rootkit,先于操作系统加载,能在磁盘擦除后继续存在,并绕过大多数端点安全产品。
固件恶意软件
驻留在设备固件(BIOS/UEFI、网卡、硬盘或外设)中的恶意代码,可以在重装操作系统和大多数端点防御之后继续存在。
Rootkit
一种隐蔽性极强的恶意软件,可在操作系统或设备上获得并隐藏特权访问权限,使常规工具难以检测。
引导级恶意软件(Bootkit)
感染 MBR、VBR 或 UEFI 等引导过程的恶意软件,可在操作系统之前加载并获取持久的特权控制。
隐蔽型恶意软件
通过隐藏、伪装与反分析手段,专门设计用于规避用户、安全工具和取证人员的恶意软件。
供应链攻击
通过攻陷可信的第三方软件、硬件或服务提供商,进而入侵其下游客户的攻击方式。