新闻链接：http://bobao.360.cn/news/detail/1874.html
新闻时间：2015-08-04 11:04:22
新闻正文：
     安全研究专家Trammell Hudson是LegbaCore公司的创始人，他也是另一种BIOS恶意软件Xeno Kovah的创造者。他在去年开发出了利用苹果Mac漏洞的”Thunderstrike”。而”Thunderstrike 2”则是”Thunderstrike”的变种。

Thunderstrike展示了蠕虫通过外设（Thunderbolt接口）物理接触及利用苹果EFI安全漏洞恶意传播的能力，而 Thunderstrike 2则拥有通过恶意网站或电邮即可传播的能力。

这个针对苹果电脑联网固件的新型攻击方法即将在本周的黑帽黑客大会上亮相。今年春天，研究人员发现了Thunderstrike Mac OS X 固件bootkit，这将允许攻击者在目标系统上悄悄地安装恶意固件，该恶意软件安装完成以后，将独立于操作系统和硬盘驱动，因此重启系统、格式化硬盘或者重新安装操作系统，都无法将这个恶意软件清除。

原因是该恶意软件取代了苹果的数字签名。本来在Mac下运行的固件程序都需要数字签名进行授权，现在数字签名被替换了之后也就失去了相应的限制。与此同时，目前很少有方法可以清理受恶意软件感染了的引导系统。目前这个概念首次在OS X平台提出，暂时在真实环境下并没有发现这样的攻击实例，现有的技术也没法对这类攻击进行精确检测。

研究人员说到：“ Thunderstrike 2与它的前身不同，使用“Thunderstrike 2”的攻击者不需要物理地访问一台Macbook；黑客可以进行远程攻击并通过外设利用病毒的自我复制漏洞。“

用户一旦安装了这款名为“Thunderstrike”的恶意软件，它会替换Mac固件下的引导固件程序，以高优先级的指令获得系统控制权限。这款恶意软件可以绕过固件程序密码验证及硬盘密码验证，在操作系统启动时就预装上后门。该恶意软件通过连接Mac机器雷电接口的外接设备（以太网适配器，外接SSD，RAID控制器等）进行传播。当攻击者使用带有恶意软件的外接设备插入Mac机器中进行引导时，会把恶意Option ROM注入可扩展固件接口。其中，Option ROM负责启用Mac系统的管理模式，并在系统加载前激活其他低级指令。它替换了Mac下的RSA密钥，使得不经过授权的固件程序也可以安装。这样的话，操控了生杀大权的雷电外接设备就可以随意往Mac安装恶意固件程序，没有新的key很难将它去除。

设备一旦感染上此恶意软件，Mac会在ROM层级固件上感染，目前仅有通过硬件层级的方法才能彻底移除受感染的固件。根据研究人员的报道，苹果仍未有完全修复这些漏洞，在五个可利用的相关漏洞中，仍有三个漏洞苹果未做出反应措施。这些固件漏洞是由Kovah和他的同事Corery Kallenberg发现的，而且这些漏洞同时存在于Windows和苹果的操作系统平台中。

研究人员说到：“攻击者一旦利用Flash或Java的漏洞成功获取了一台目标设备的控制权，那么他就可以利用Thunderstrike 2进行二次攻击。研究人员Patrick Wardle还开发了一些其他的攻击方法，这些方法同样可以利用这些漏洞，例如Rootpipe后门或者dylib劫持攻击等等。”

通过Thunderstrike攻击，黑客可以在目标主机上安装一个”firmworm”后门。任何一台受感染的计算机都可以将病毒传播至一个雷电接口设备上，当这些设备插入了其他的苹果电脑之后，恶意代码将会自动运行。这将有助于攻击者越过网络的障碍(类似于空气间隙)，因为有的时候并不是所有设备都接入了网络。

Thunderstrike攻击的是计算机的引导程序，而这往往是启动一台计算机的第一个步骤。在引导程序之后启动的所有程序完全取决于计算机的安全性，这是最隐蔽的一层，任何人都可以对其进行修改和控制，而这也往往是隐藏病毒和后门程序的绝佳位置。

为了实现这个层级的感染，Hudson使用了Option ROMs(OROMs)，它类似于系统的引导程序，但它引导的是那些接入了系统的外设，例如插入雷电接口的设备。OROMs可以修改Mac固件更新的内容，尽管它们还没有保存和替换计算机固件的能力。但是Hudson发现，他可以随意替换苹果用于验证更新程序的公共密钥。这也就意味着，攻击者可以在固件中安装他们自己的密钥，从而确保目标主机只安装由攻击者所提供的系统更新，而不是安装苹果公司发布的更新。

Kovah说到：“首先，攻击者可以感染目标主机的闪存芯片。这样一来，受感染的设备将会感染所有插入其雷电接口的设备。”

苹果公司于今年6月发布了一个针对Darth Venamis漏洞的更新补丁，但根据Kovah的描述，这个更新补丁并不是非常的有效。他说：“此次修复并不能阻止攻击者破解系统管理模式(SMM)，这是计算机系统的一部分，它可以读取内存中的所有数据。”

现在，苹果公司与微软公司至少有了一个共同点：漏洞

在最近的几个月，Kovah和Kallenberg已经发现了大量固件级别的漏洞，其中一些漏洞不仅影响了Mac设备，而且还影响了那些使用UEFI(统一的可扩展固件接口)以及使用了它的前身－EFI(可扩展固件接口)的计算机。Kovah提醒道：“EFI和UEFI固件往往都会存在有相同的漏洞，因为它们来源于相同的参考实现。”实际上，Thunderstrike 2的所有组件都是根据之前所披露的漏洞而开发出来的。

英特尔公司鼓励他们的合作伙伴去使用公司自己的漏洞缓解技术，例如在OROMs上使用密码签名，这样一来，除非程序拥有一个可以验证的签名，否则计算机不会执行任何来自于ROM的代码。我们还可以使用SMM lock box，它可以将大多数关键的脚本从固件中隔离出来。这两种方法都可以帮助用户防止Thunderstrike 2攻击。微软Windows计算机的制造商已经启用了这些功能，例如戴尔和惠普。但是不知是何原因，苹果公司并不打算采用英特尔公司所提供的建议。但是Kovah认为，即便是苹果采用了这些防御措施，攻击者还是可以通过一个名为SpeedRacer的漏洞来绕过这些保护措施，从而对Mac进行攻击。

就目前来说，用户唯一一个能够检测Thunderstrike 2攻击的方法就是进行固件取证，但是普通用户是无法获取这种服务的。研究人员已经开发出了一些OROM检查器，用户可以免费获取和使用，但是用户如果想要保证自己的安全，他们还需要去学习一些芯片级的安全知识。

本文由 360安全播报 翻译，转载请注明“转自360安全播报”，并附上链接。
原文链接：http://www.forbes.com/sites/thomasbrewster/2015/08/03/apple-mac-firmworms/

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)