何谓UEFI查毒,用户为何需要此项功能?

Cameron Camp,ESET安全研究员
2017年10月26日

当ESET公司宣布,旗下最新版零售终端防护产品集成了UEFDI扫描功能时,用户主要反映分为两种。有些人称:“太棒了!”;还有人说:“UEFI扫描功能是什么?”本文就为您提供此问题的答桉 – 我想,回答”太棒了!“的人往往是计算机安全领域最新技术的密切关注者,深知这所谓的UEFI往往蕴含着安全隐患。

 

从BIOS到UEFI

先从基础知识讲起。UEFI是通用可宽展固件接口的英文缩写,是计算机系统的最基础元素,在开机时启动操作系统,即所谓的开机启动程序。您或许听说过,这一程序是由所谓的BIOS即基本输入输出系统控制的,实际上过去也的确是这样。但现如今的计算机已采用UEFI取而代之,虽然偶尔出于习惯被一些人称为BIOS。

与计算机系统的其他组件一样,一旦UEFI被黑客攻击后,便可获取系统及其数据的非法访问权限。UEFI查毒引擎的功能就是检测和查杀,早于操作系统启动之前便可执行的一类威胁。此类威胁包括rootkit和勒索病毒在内,针对UEFI之中的安全漏洞发起攻击,具有很强的顽固性,即使重新安装操作系统后仍可存活。简单地说,ESET UEFI查杀引擎的作用就是防范此类攻击。

UEFI的前身BIOS,早在1975年为八位计算机系统开发。可能没有人会想,进入新世纪后仍会沿用。但有时旧技术有顽强的生命力,超出人们的预期(例如鼠标,有人能提出反对意见吗?)。部分是因为没人知道如何取代BIOS,但人们却能够明确,新技术应具备更强功能和更好的安全性,便于升级和扩展,无需编写汇编语言代码。

令BIOS寿终正寝更为实际的因素之一,就是需要支持大型硬盘。1975年那时,还没人想到搭配2TB以上硬盘会有怎样的后果,这一容量在当时看来是难以想象的。但现在情况已经变了!

不仅如此,如果其中能内置有连网功能,早在系统启动之前便能够下载更新,岂不是更好?更易理解、更便于扩展的易用操作界面,搭配某种存储途径,例如借助硬盘存储更新文件、USB密钥等一类数据,而不再依赖BIOS芯片本身,受其中相对极小的容量所制约,岂不快哉?

虽然这一切听上去很好,但落实起来却有相当难度。不仅需要有业界的广泛支持,还必须有领头羊率先引领这一变革。最终,英特尔公司首先涉足这一新技术领域,搭配自家不被看好的64位安腾处理器(现已停产)开创了EFI技术,因为BIOS不能支持64位运算。但为在业界推广,英特尔公司设立了UEFI(通用可宽展固件接口)论坛并开放了EFI技术,面向所有厂商公布了适配规格。

 

自主适配问题

请注意,UEFI只是一种规格,并非实际执行标准,也就是说,只要在数字规格的框架内,厂商可以自主添加相关功能(C代码形式,非常感谢)。业界也正是这样操作的,各个厂商纷纷推出自己的版本。

青睐于各类新技术的微软公司也采用了UEFI,从而大大促进了普及度。该公司宣布,从Windows 8起,UEFI成为新型64位计算机的贴标认证要求(原本不支持64位的旧计算机仍可以升级)。毕竟,UEFI提供了一些有趣的安全功能,这是已被淘汰的BIOS所无法实现的。

不幸的是,UEFI的自主适配性也引发了部分兼容性问题。如同每一项新技术一样,尤其是对于功能强大、底层运行、广受信赖、影响深远,用以驱动纷纷上市的新型计算机的新技术而言,难以避免地会出现兼容性问题。检测所有适配产品需要时间,测试范围又无法保障全面性,因此一些基本问题便会出现(既是好事也是坏事)。

此外,随BIOS成长起来的一代技术人员,也不具备修复UEFI的工具或知识,大都因为此类工具并不存在或不广为人知,这一点目前仍是个问题。从顶层设计上,UEFI的运行流程也较为复杂。

UEFI平台初始化启动流程(Zimmer、Dasari及Brogan 2009年论文第16页)

安全隐患

由于攻击UEFI可以确保病毒效力的持续性,利用传统检测方式很难查杀,因此黑客们竭力寻找各种途径获取访问权、升级用户权限,并直接写入UEFI串行外设接口或称SPI,一块储存计算机启动信息的受信闪存芯片。一旦成功后,黑客们便能够在更多系统资源加载过程中获取访问权,因此能够搞出一切可恶的低级把戏。

很明显,保护SPI安全性是重中之重。从内部设计角度而言,这主要是通过SMM(系统管理模式)实现的。SMM就好像是SPI的安全哨所,旨在确保所加载的二进制数据不被篡改,并与证书相匹配,但SMM本身已被发现存在漏洞,使任意进制代码可以执行,常规漏洞已被披露出来。在敦促厂商复核自身代码之中的漏洞方面,已做出了大量努力,但厂商往往并不相信其中会存在漏洞。

记住UEFI只是一种规范,各大厂商纷纷发布了自认为对操作系统及其硬件最佳的版本。这就意味着不同厂商设备之间,有着很大的差异。此外,一些厂商还满怀信心地发布了自己的固件代码,对于消费者而言是否具有价值有待商榷,但普通(甚至有经验的)消费者都极难移除。如同往常一样,快速上市往往会给安全性造成隐患。

 

开启UEFI查毒

对于安全软件开发产业而言,UEFI所引发的潜在新型攻击隐患意味着,针对UEFI内部结构实施扫描的迫切性,变得日益重要。因此,ESET公司率先启动了相关潜在威胁的分析和查杀研究。起初,关于现实世界中传播的UEFI类威胁鲜有人知,但由于ESET拥有遍布全球的广泛疫情信息系统,借此成功开始了潜在威胁的样本采集、验证和分析工作,以便保护这一日益突出的薄弱环节。 

某种意义上来说,在能够采集到现实世界中传播的病毒样本,并在日后公布分析结论之前,此类威胁仍停留在理论层面。对于任何一项新技术而言,最初的漏洞攻击行为,尤其是成功的一类,通常都预示着同类攻击的规模性爆发。一旦攻击者找到针对UEFI漏洞发起攻击的万能法宝,我们便会看到更多同类威胁在现实世界中流行,直到软硬件厂商共同协作,开发出补丁为止。 

鉴于黑客工具具备更强的灵活性以及针对UEFI的适用性,加上补丁部署的巨大差异性和长期参差不齐特性,UEFI将持续作为遭受攻击的目标。UEFI有效查毒及威胁查杀技术的市场需求,也将随之不断增长。

如需阅读We Live Security网站上有关UEFI安全性的更多文章,请访问以下博客和论文:

·        固件之中植入恶意程序:利用安全假象的攻击新招 (2017年10月19日)

·        Windows 10安全性及隐私权保护:深入调查和分析 (2016年6月15日)

·        Bookits、Windigo以及Virus Bulletin  (2014年9月30日) 

·        Bootkits:前生、今世和未来 (2014年9月) 

·        Windows 8发布后六个月观感(白皮书) (2013年6月3日) 

·        白皮书:Windows 8的安全特性(2012年10月9日) 

 

关于Version 2 Limited

Version 2 Limited是亚洲最有活力的IT公司之一,公司发展及代理各种不同的互联网、资讯科技、多媒体产品,其中包括通讯系统、安全、网络、多媒体及消费市场产品。透过公司庞大的网络、销售点、分销商及合作伙伴,Version 2 Limited 提供广被市场讚赏的产品及服务。Version 2 Limited 的销售网络包括中国大陆、香港、澳门、台湾、新加坡等地区,客户来自各行各业,包括全球1000大跨国企业、上市公司、公用机构、政府部门、无数成功的中小企及来自亚洲各城市的消费市场客户。


关于ESET

ESET成立于1992年,是一家面向企业与个人用户的全球性的电脑安全软件提供商,其获奖产品 — NOD32防病毒软件系统,能够针对各种已知或未知病毒、间谍软件 (spyware)、rootkits和其他恶意软件为电脑系统提供实时保护。ESET NOD32佔用 系统资源最少,侦测速度最快,可以提供最有效的保护,并且比其他任何防病毒产品获得了更多的Virus Bulletin 100奖项。ESET连续五年被评为“德勤高科技快速成长500 强”(Deloitte’s Technology Fast 500)公司,拥有广泛的合作伙伴网络,包括佳能、戴尔、微软等国际知名公司,在布拉迪斯拉发(斯洛伐克)、布里斯托尔(英国 )、布宜诺斯艾利斯(阿根廷)、布拉格(捷克)、圣地亚哥(美国)等地均设有办事处,代理机构覆盖全球超过100个国家。