三大惡意軟體的絕密藏身之地：固件、控制器與BIOS

本文講的是三大惡意軟體的絕密藏身之地：固件、控制器與BIOS，20世紀早期，心理學先驅弗洛伊德和皮埃爾引入了“無意識”和“潛意識”這兩個革命性的概念。具體含義就是：我們有一個“意識中的意識”，一個潛藏的意識，記錄我們意識層面下無處存放的所有東西，或者說在我們醒着的時候不想去承認的東西。這個潛藏的地下意識，常成為各種各樣問題和弊端的替罪羔羊。

計算機科學中也存在類似卻切實存在的地下世界，盡管文檔完善，這仍然是現代資訊安全中最脆弱的領域。用“意識中的意識”做類比，也存在計算機中的計算機。這些隐藏的計算機活躍在安全範圍之外，卻控制着我們自以為對這裝置所知的一切。

我們筆記本上的基本輸入輸出系統(BIOS)，驅動硬碟的硬體控制器，我們伺服器中的基闆管理控制器(BMC)，都是作業系統底下的小計算機，某些情況下還能獨立于核心CPU自行運作。這些就是我們計算機的後門，一旦被侵入，能颠覆我們從作業系統所知的所有東西。

去往BIOS

Rootkit是攻擊者軍火庫中的強力工具，能讓攻擊者避過主機上安裝的防毒軟體或其他安全産品的檢測，隐秘擷取受害系統的控制權。通常，這一惡意軟體要和防毒軟體競争對作業系統的最底層最受信通路權。然而，随着攻擊者越來越老練，他們認識到：通過去往BIOS，他們可以進到比作業系統更底層的地方。

BIOS是惡意軟體的理想藏身地，因為那裡不僅被大多數防毒軟體産品無視，甚至即使作業系統被抹掉重裝都對其毫無影響。鑒于很多企業都隻簡單地鏡像恢複受感染系統，BIOS rootkit 可以很容易地挺過鏡像恢複過程。而且BIOS不僅運作在作業系統之下，其中的固件還幾乎不更新更新。意味着BIOS的任何漏洞都很可能為攻擊者所用，安裝到其上的任何代碼都不會被覆寫。

驅動你硬碟的小小電腦

我們通常都認為硬碟就是一大塊存儲空間，再無其他。然而，隻要你觀察筆記本硬碟底部，你會發現，這塊存儲空間竟然還有電路闆。那就是硬碟控制器，有自己的記憶體和固件，控制着硬碟的低級操作。

如果攻擊者侵入了硬碟控制器的固件，那他就有可能用連作業系統都不可見的方式控制硬碟。去年年初，就發現了有攻擊者這麼幹了。這讓攻擊者可以将文檔以不用加密的方式隐藏起來，甚至在硬碟裡作業系統都不會報告的地方開辟出一片隐藏區域。同樣重要的是，固件也能挺過軟體和作業系統更新。

資料中心裡的硬連線後門

BMC不是“校園風雲人物”，但這基闆管理控制器确實在伺服器上扮演者極端重要的角色。對伺服器硬體而言，BMC就是實際意義上的“計算機中的計算機”，有自己的處理器、記憶體和網絡堆棧。它獨立于主伺服器硬體，甚至比BIOS還底層。它執行着極其重要的任務，監控這系統的基本監控，比如内部溫度、風扇速度，以及作業系統本身。

但是，BMC僅僅是半個解決方案。管理者需要管理大量伺服器，不可能每次需要檢查伺服器的時候都用控制台線纜一台台實體連接配接上。這就是智能平台管理接口(IPMI)登場的地方了。IPMI是管理者用以遠端管理帶外伺服器的協定。每個硬體廠商都有自己品牌版本的IPMI，不過大體類似。

IPMI的危險性來自于其能力。IPMI可被用于挂載幾乎任何硬碟鏡像，如果必要的話還能替換掉作業系統。為做到這一點，IPMI和BMC可以在主伺服器處理器沒運作的時候工作，甚至伺服器都關機了也能運作。完全禁用的唯一方法，是直接拔掉伺服器的電源線。

雖然IPMI對伺服器有着神一樣的控制力，卻通常沒被很好地保護和監視起來。預設密碼衆所周知，還常常就這麼不修改地沿用了，而且IPMI通路基本是不記入日志的。意味着攻擊者能在不被檢測的情況下，快速猜到或暴力破解出密碼。一旦攻擊者通路到BMC，他就能控制每一個抽象層，包括主機作業系統、任何客戶虛拟機和他們的工作負載。

某種程度上似乎有點諷刺——人們在保護虛拟化環境上投注了如此多的關注和努力，最大的漏洞之一竟然就在實體硬體自身。不僅僅資料中心是這樣，我們的個人筆記本電腦也是這樣。我們平時看不到的固件、控制器、BIOS，能颠覆我們自以為對給定裝置的認知。“計算機中的計算機”正越來越成為攻擊者實際行動的發生地。

原文釋出時間為：八月 29, 2016

本文作者：nana

本文來自雲栖社群合作夥伴安全牛，了解相關資訊可以關注安全牛。