恶意软件
引导级恶意软件(Bootkit)
别称: 引导型 Rootkit, MBR Rootkit
定义
感染 MBR、VBR 或 UEFI 等引导过程的恶意软件,可在操作系统之前加载并获取持久的特权控制。
Bootkit 是一种特殊的 rootkit,会破坏早期引导组件,如主引导记录(MBR)、卷引导记录(VBR)或 UEFI 固件。由于它在操作系统及安全工具之前执行,因此可以关闭防御、挂钩内核代码,并在重装系统后依然存活。现代 Bootkit 会针对 UEFI 变量和 EFI 系统分区。检测需要固件完整性校验、结合 TPM 远程证明的安全启动/可测量启动,以及对引导介质进行离线取证镜像。缓解措施包括启用 UEFI 安全启动并保持吊销列表最新、设置 BIOS/固件密码、禁用 CSM 兼容引导,并使用全盘加密以发现引导链篡改。
示例
- 可在已修补系统上绕过安全启动的 UEFI bootkit BlackLotus。
- 高级持续威胁级别的 UEFI 固件植入 MoonBounce。
相关术语
Rootkit
一种隐蔽性极强的恶意软件,可在操作系统或设备上获得并隐藏特权访问权限,使常规工具难以检测。
UEFI 根套件
植入 UEFI 固件中的 Rootkit,先于操作系统加载,能在磁盘擦除后继续存在,并绕过大多数端点安全产品。
BIOS 根套件
感染传统 BIOS 固件的 Rootkit,在操作系统启动前执行,实现位于操作系统下层的深度驻留。
引导扇区病毒
感染磁盘引导扇区或主引导记录的病毒,在操作系统加载之前运行。
固件恶意软件
驻留在设备固件(BIOS/UEFI、网卡、硬盘或外设)中的恶意代码,可以在重装操作系统和大多数端点防御之后继续存在。
恶意软件
任何被故意设计用于破坏、损害计算机、网络或数据,或对其进行未经授权访问的软件。