英特爾發布安全檢測工具CHIPSEC，可檢測被CIA泄露的漏洞

在維基解密CIA數據泄露事件後，英特爾安全（Intel Security）公司發布了CHIPSEC——一款用於檢測計算機固件內的流氓二進位文件的EFI rootkit檢測工具。

幾天前，維基解密宣布它正在與軟體製造商合作，一起修復Vault7泄漏文檔中影響他們的產品和服務的零日漏洞。該組織正在與他們共享關於Vault7泄露文檔中包含的黑客工具的信息，此外，IT供應商們也正在努力解決這些問題。

為了響應中央情報局的此次數據泄露事件，英特爾安全發布了一個工具，允許用戶檢查是否其計算機的固件已經被修改並包含未經授權的代碼。

挖掘中央情報局泄漏文檔的安全專家發現，該機構的黑客已經為蘋果的MacBook開發了EFI（可擴展固件介面）rootkit。

中央情報局嵌入式開發分支（EDB）小組的開發人員已經設計了一款名為「DerStarke」的OS X「植入」 ，在名為「Bokor」的模塊中實現一個內核代碼注入機制，並使用一個稱為「Dark Matter」的EFI持久化模塊。

該UEFI（統一的擴展固件介面）取代了現代計算機的BIOS（基本輸入輸出系統），它是操作系統和其固件相兼容的軟體介面。它由在現代計算機中實現不同特徵的大量「應用程序」所組成。

在EFI中以隱藏方式運行的惡意軟體能夠繞過任何安全機制，並將惡意代碼插入到操作系統內核中，它還會在受感染的機器上保持持久化，從而允許rootkit再重新啟動，系統更新甚至是重新安裝操作系統。

閱讀文檔可能會發現另一個由CIA EDB（嵌入式開發小組）開發的項目，代號為「QuarkMatter」，它是一個「Mac OS X EFI植入，可以使用存儲在EFI系統分區上的EFI驅動程序為任意內核植入提供持久性。」

現在英特爾安全公司的高級威脅研究團隊為其現有的CHIPSEC開源框架設計了一個新模塊，該模塊能夠檢測出惡意的EFI二進位文件。對該框架的描述稱，

CHIPSEC是一個用來分析PC平台安全性的框架，包括硬體、系統固件（BIOS / UEFI）以及平台組件等。它包括一個安全測試套件，可以訪問各種低級介面的工具，以及取證功能。它可以在Windows、Linux、Mac OS X以及UEFI shell上運行。CHIPSEC的安裝和使用說明可以在手冊（chipsec -manual，PDF）中找到 。

CHIPSEC 是一個命令行工具的集合，使用低級別的介面來分析系統的硬體、固件以及平台組件。這一新型CHIPSEC模塊允許用戶從製造商處獲取一個乾淨的EFI映像，提取其內容並構建一個其包含的文件的白名單。此外，CHIPSEC還允許用戶將上述列表與組成系統當前EFI的二進位文件列表或先前從系統中提取的EFI圖像進行比較。

本文參考來源於securityaffairs，如若轉載，請註明來源於嘶吼： 英特爾發布安全檢測工具CHIPSEC，可檢測被CIA泄露的漏洞 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：