Hacking Team 資料外洩事件曝光的資料經過解析之後,目前又有重大發現:Hacking Team 會使用 UEFI BIOS Rootkit 來讓其遠端遙控系統 (Remote Control System,簡稱 RCS) 代理程式常駐在受害者的系統。也就是說,就算使用者將硬碟格式化並重灌作業系統,甚至再買一顆新的硬碟,其代理程式還是會在進到 Microsoft Windows之後自行重新安裝,允許客戶自遠端監控或掌控目標裝置。
他們甚至針對 Insyde BIOS (一個知名的 BIOS 廠商) 撰寫了一套專用程序。不過,同樣的程式碼在 AMI BIOS 上或許也能運作。
在 Hacking Team 資料外洩 的一份簡報投影片當中宣稱,要成功感染目標系統必須實際接觸到目標系統,但我們還是不排除有遠端安裝的可能性。一種可能的攻擊情況是:駭客想辦法趁機操作目標電腦,將電腦重新開機以進入 UEFI BIOS 介面,然後將 BIOS 複製出來並且在 BIOS 中裝入 Rootkit,接著將 BIOS 更新回去,最後再將系統重新開機。
趨勢科技發現 Hacking Team 還針對其 BIOS Rootkit 的使用者開發了一套輔助工具,甚至當使用者遇到不相容的 BIOS 時還提供技術支援。
圖 1:Hacking Team 還提供技術支援。
Rootkit 的安裝過程如下:首先將外部的三個模組複製到已修改的 UEFI BIOS 中的一個檔案磁卷 (file volume,簡稱 FV),例如在 UEFI 介面下從 USB 隨身碟複製。第一個模組是 Ntfs.mod,可讓 UEFI BIOS 讀/寫 NTFS 檔案。第二個模組是 Rkloader.mod,用來攔截 UEFI 的事件並且在系統開機時呼叫檔案植入模組 (dropper) 的函式。第三個模組是 dropper.mod,含有實際的代理程式,檔名為 scout.exe 或 soldier.exe。 繼續閱讀