Pages

Sunday, 25 October 2020

黑客透过「手指」,植入通杀各类主板的UEFI病毒

 有发现黑客植入的木马,根本无法用正常防毒软件移除,有可能造成整部电脑要报废,究竟有甚么木马,可以如此厉害,不知能否介绍一下?


李建军:这就要从电脑的运作原理开始讲起。UEFI,即统一的可扩展固件接口(unified extensible firmware interface),是控制电脑的最基本软件。控制电脑启动过程的部分,就是UEFI,这部分亦会控制电脑硬件之间的最基本运作。不理你用甚么作业系统,甚至现时大部分网络主机、桌面和笔记簿电脑,都使用了UEFI技术,负起控制启动过程,以及作业系统与硬件沟通的责任。

而中国当局有关的黑客,将意大利一个已经解散的黑客群体所写的、用于入侵UEFI的程式,作出二次创作,并且加入木马,然后透过USB「手指」等方式将病毒载入目标人物的电脑,改写对方电脑的UEFI,达致成功入侵的目的。被感染的人群都是外交官或非政府组织的人。很大机会,这些人的电脑,在一些无人看管场合被黑客实际接触到,因而中招。例如出席国际会议时,将电脑留在酒店房间,而黑客以清洁工人之类身份进入房间后,再将有问题USB「手指」插入你的电脑犯案。

对于一些经常被中国当局监视的敏感人物,要防止这种木马唯一方法,就是确保你的电脑不会离开你视线范围。针对该群体,我并不建议使用桌面电脑,因为你不会知道国安国保人员会否进入你家中,然后再偷偷植入木马。只能使用笔记簿电脑,而且随身携带,以策安全。当然,即便如此,也难保会否有人在大街大巷抢你的电脑,这已是另一个问题。

而使用平板电脑,都是另一个方法,因为平板电脑设计理念与桌面电脑不同,他们的更新作业系统以至硬件控制软件的方法,都严格得多,基本上,很难透过插入USB「手指」,就执行植入木马的UEFI病毒程式。在平板电脑的性能以至软件上,都越来越追得上一般笔记簿电脑的情况下,这也不失为一个不错的选择。

问:除了透过USB「手指」植入UEFI病毒,电脑在使用互联网时会否感染上UEFI木马?

李建军:我们暂时看不到这种可能性,因为现时还未有可以透过远程通讯、可以绕过作业系统对UEFI进行篡改的方法。UEFI的权限比作业系统本身高,作业系统不会随便批准你改写UEFI内容改写UEFI一定会使用特别的方法启动电脑,才能改写当中内容。所以,暂时不会因你从互联网、电邮等不幸接触到特定木马软件而感染UEFI病毒。

只不过,如果木马软件可以伪装成UEFI更新程式,这个将另作别论。换言之,黑客可能会将UEFI病毒包装成UEFI更新程式,提醒用户下载更新,一旦获得机主授权,就能在电脑上长驱直入。因此,如果有一些可疑的系统更新,应该提高警觉。而如果要更新UEFI资料,只可以用你的电脑制造商提供的程式进行,不要安装一些古怪UEFI版本

问:UEFI木马,会否影响到Mac或Linux?

李建军:UEFI木马是有可能影响Mac或Linux。与其他木马只会影响特定作业系统很不同,因为UEFI高于作业系统,而且任何英特尔或AMD的电脑都支持UEFI,连Mac启动都是用UEFI,所以能影响到不同作业系统。

但近年出厂的Mac被成功入侵的机会仍然略小,因为它们内里有苹果自己设计的T2保安晶片作保安相关运算,要植入一些古怪UEFI难度大增。当然,苹果的T2保安晶片最近被发现有另一些漏洞,那是另一个问题。



2015年3月5日,美国联邦调查局的特工在法庭上作证,期间展示一枚USB「手指」。

No comments:

Post a Comment