恶意软件
固件恶意软件
别称: 固件植入, 操作系统下层恶意软件
定义
驻留在设备固件(BIOS/UEFI、网卡、硬盘或外设)中的恶意代码,可以在重装操作系统和大多数端点防御之后继续存在。
固件恶意软件植入位于初始化和驱动硬件的底层代码中,位于操作系统之下。固件很少被扫描,且通常存储在可写闪存中,因此植入物可以在格盘、重装系统甚至更换硬盘后(若它感染了其他组件)继续存在。常见威胁包括 UEFI Bootkit、恶意硬盘固件、网卡植入物以及管理控制器中的后门。初始感染通常需要物理访问、供应链入侵或具备内核权限以刷写固件。常见防御措施包括安全启动(Secure Boot)、签名的固件更新、可测量启动与 TPM 证明、厂商提供的固件完整性工具、硬件信任根以及严格的供应链管控。
示例
- 归因于 Sednit/APT28 的 LoJax UEFI 植入物。
- 从 SPI 闪存加载的 MoonBounce 固件植入物。
相关术语
UEFI 根套件
植入 UEFI 固件中的 Rootkit,先于操作系统加载,能在磁盘擦除后继续存在,并绕过大多数端点安全产品。
BIOS 根套件
感染传统 BIOS 固件的 Rootkit,在操作系统启动前执行,实现位于操作系统下层的深度驻留。
引导级恶意软件(Bootkit)
感染 MBR、VBR 或 UEFI 等引导过程的恶意软件,可在操作系统之前加载并获取持久的特权控制。
Rootkit
一种隐蔽性极强的恶意软件,可在操作系统或设备上获得并隐藏特权访问权限,使常规工具难以检测。
供应链攻击
通过攻陷可信的第三方软件、硬件或服务提供商,进而入侵其下游客户的攻击方式。
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT) — definition coming soon.