BIOS 病毒：計算機界的埃博拉病毒

殺毒軟件、防火墻、U盾……在植入系統BIOS的新型攻擊技術面前，傳統的安全防御體系徹底失效了。

在最近的CanSecWest安全大會上，兩位安全專家展示了一種針對計算機基礎固件——UEFI的攻擊方式。長達81頁的PPT向世人描繪了一幅 恐怖的圖景：可以繞過一切安全軟件、密碼控件，無法被發現，即便更換硬盤重裝系統都不可能清除的超級病毒，如今可以通過簡單的方式侵入全球數以千萬計的 PC。更可怕的是，幾乎無人對這種威脅表現出真正的重視態度。

背景

我們使用的PC都安裝有被叫做BIOS的硬件模塊。BIOS是系統最底層的控制系統，負責管理基本的硬件功能。如果說常見的操作系統如 Windows、OS X、Linux相當于人類的大腦，那么BIOS的職責就接近人體的植物神經。電腦通電啟動后第一個開始運行的模塊就是BIOS，它引導各個組件如內存、顯 卡開始運行，之后將控制權移交給正常啟動的主操作系統。

老實的BIOS是字符化的，功能很少，啟動速度緩慢且基本沒有擴展能力。2010年開始名為UEFI的新式BIOS開始普及。UEFI相當于一個現 代化的微型操作系統，支持鼠標和圖形化界面，可以管理許多硬件設備并且運行速度較快。2010年后生產的PC基本都換上了UEFI。

潘多拉之盒

BIOS一般沒有安全防御措施。倘若一段惡意代碼被植入BIOS，則在主操作系統啟動之前這段代碼即使開始運行也不會被發現。不過一旦系統完成啟 動，代碼就很容易被系統安全軟件察覺并清除。用戶的敏感操作大多是在操作系統中完成的，所以如果BIOS病毒不能繞開操作系統的防御措施就不可能竊取用戶 隱私。

然而安全專家發現了一條隱秘的通道可以讓惡意程序繞過操作系統的監控措施：基于x86指令集的CPU都有一種叫做系統管理模式（SMM）的特殊運行 狀態，處于這種運行狀態的程序對操作系統是透明的。惡意程序如果在系統管理模式下竊取電腦內存中的敏感資料，安全軟件對此基本無能為力。

如果惡意程序在進入SMM狀態之前就被反病毒程序發現，攻擊自然就失敗了。此次安全會議上，Xeno Kovah和Corey Kallenberg兩位專家展示的正是如何令病毒程序全程處于SMM狀態，徹底避開安全程序的掃描與監控的方法。

他們發現了新一代BIOS：UEFI普遍存在一種漏洞，使得代碼可以被輕易植入其中。利用此種漏洞程序就可以在操作系統啟動之前即開始以SMM狀態 運行，以“隱身”狀態偷取情報。不僅防火墻、殺毒軟件無法發現這類程序，就連專門設計的沙盤式安全系統都在新型竊賊面前如同裸奔。諸如瀏覽器安全控件、U 盾之類的防御體系現在徹底失效了，更可怕的是除了更新BIOS外沒有辦法清除這種病毒——換掉硬盤都沒用。而且用戶根本不知道自己是否被入侵，自然也不會 采取任何對應措施。

本來這種UEFI的漏洞并不是通用的：不同的UEFI版本中的漏洞代碼不一樣，所以入侵者需要找到具體的代碼類型才能實施攻擊。但是幾大主板廠商多 年來在UEFI固件中大量使用通用的代碼類型，導致數以千萬計的PC的漏洞特征只有少數幾百個而已。只需要一段腳本就可以在極短時間內分析出目標計算機的 漏洞類型并加以利用，過程毫不拖泥帶水。由于大多數使用者從來不會更新自己的BIOS，所以惡意程序一旦植入成功就幾乎不可能被清除。電腦中了這么一招就 幾乎沒有安全性可言了，傳統的安全應對策略——安全軟件、復雜密碼、U盾、隱藏文件夾……都成了自欺欺人的笑話。

對策

值得慶幸的是我們面對這可怕的威脅并非束手無策。首先，這種攻擊非常難以通過遠程手段成功進行：典型的，攻擊者需要獲得目標系統的管理員權限，而這在當今的網絡世界實在不是輕松的活計。只要用戶的管理員密碼沒有泄露或被破解，那么被秘密遠程植入代碼是不太可能的。

當然，傳統的釣魚郵件、惡意鏈接等攻擊方式依舊可以用來進行木馬植入。一旦攻擊完成，殺毒軟件是不可能發現被安裝在UEFI的惡意程序的。所以面對陌生郵件、鏈接和網站還是要保持高度警惕，現在你的電腦事實上比以前更加脆弱了。

企業和政府部門尤其該注意這種全新的攻擊技術。雖然遠程攻擊不太容易，但如果攻擊者能夠直接控制電腦那一切就輕而易舉了：僅需兩分鐘，一名沒什么電 腦知識的攻擊者就可以按照簡單的說明輕松將木馬安裝到目標系統中。從此以后這臺電腦就失去了所有的外衣，對黑客完全透明了。因此商業公司和政府部門現在應 該密切注意人員的權限管理，帶有敏感數據的電腦一定要杜絕低權限人員的接觸。

想要徹底解決這一前所未有的安全威脅的唯一方法是升級到打好補丁的最新版本BIOS固件。遺憾的是目前多數主板廠商還沒開始動作，而媒體也缺乏對這 一事件的關注程度。在利用這一漏洞的攻擊造成明顯的損失以前，多數人都不會對此有足夠的重視。這恰恰給了黑客和犯罪者更多的時間和機會。

希望

雖然威脅巨大，但這種針對BIOS的全新攻擊技術還是可以被徹底阻止的。如果主板廠商都發布了新版BIOS，大多數PC都升級到消除了漏洞的固件， 黑客不再有可乘之機時世界就會恢復原有的平靜。升級BIOS并不是難事，重點在于廠商和用戶意識到威脅的存在并給予足夠的重視。如果缺乏警惕，即使是最小 程度的安全威脅都有可能演變為帶來巨大損失的風暴，屆時亡羊補牢就為時已晚了。