BIOS 攻击
BIOS(Basic Input/Output System)攻击是指攻击者通过篡改、替换或控制计算机的 BIOS 固件,来获得对操作系统以下层级的权限控制,从而实现持久化控制、绕过操作系统防御、安全监测及恢复机制。
原理简介
BIOS 是系统启动的第一部分,负责初始化硬件并引导操作系统。由于 BIOS 固件在硬件上具有最高的权限,因此一旦被攻击或植入恶意代码,攻击者可以:
- 完全控制计算机,包括操作系统级别的防御机制
- 规避杀毒软件、防火墙和系统日志等监控
- 实现极强的持久性(系统重装、硬盘更换无法清除)
攻击方式
1. 利用 BIOS 漏洞
攻击者可以利用 BIOS 固件中的安全漏洞(如缓冲区溢出、未签名更新等),远程或本地执行恶意代码。
2. 恶意 BIOS 更新
某些主板厂商允许从操作系统中更新 BIOS,如果攻击者获得管理员权限,可利用恶意 BIOS 镜像进行替换。
3. 恶意硬件或供应链攻击
攻击者可在 BIOS 烧录或主板生产环节植入恶意固件(如恶意 SPI Flash),属于硬件级后门(供应链攻击)。
4. 物理访问攻击
若攻击者获得目标设备的物理访问权,可通过编程器或硬件接口(如 SPI、JTAG)直接写入 BIOS 恶意镜像。
影响后果
- 持久化后门:操作系统重装无法清除,具备极强的持续控制能力。
- 完全控制系统:可加载恶意引导程序、驱动,劫持系统启动过程。
- 隐藏攻击痕迹:可以清除日志、隐藏文件,规避取证分析。
- 横向移动:通过 BIOS 控制可持续感染系统、传播恶意代码。
实际案例
案例:Hacking Team BIOS Rootkit(2015)
安全研究者披露 Hacking Team(意大利安全公司)开发了一种 BIOS Rootkit,可通过操作系统写入 BIOS 固件,并在系统重启后重新感染操作系统,即使用户重装系统也无法清除。
参考链接:https://attack.mitre.org/software/S0047/
检测方法
- 硬件完整性检测:对比主板 BIOS hash 或签名信息,检测是否被修改。
- 外部引导检测:使用可信引导设备(如 CD/USB)进行 BIOS 校验。
- 行为监控:监控 BIOS 中是否存在未授权的网络通信、隐藏功能。
- 利用 CHIPSSEC:开源 BIOS 安全检测工具,可检测 BIOS 权限和漏洞。
防御与缓解措施
- ✅ 启用 BIOS 写保护,防止固件被篡改
- ✅ 开启 Secure Boot,确保加载的固件/引导加载器签名可信
- ✅ BIOS 固件升级仅通过官方渠道,验证 SHA256/签名
- ✅ 限制管理员权限,避免操作系统中写入 BIOS
- ✅ 物理防护主板接口,防止通过 SPI/JTAG 攻击
- ✅ 使用 TPM(可信平台模块)或 Intel Boot Guard 等硬件信任机制
总结
BIOS 攻击是一种低层级、持久性、隐蔽性极强的攻击方式。它代表了攻击者对计算机系统控制的最高权限,防御难度大、恢复成本高。因此,必须从硬件可信、更新渠道、访问控制等多方面入手,构建系统性的防护机制。