即使换硬盘也无法删除Hacking Team的远程控制软件

安全
Hacking Team的远程控制软件,结合了UEFI(统一可扩展固件接口),能在主板BIOS中隐藏自身,别说重装系统,就算是换硬盘都无济于事。

Hacking Team的远程控制软件,结合了UEFI(统一可扩展固件接口),能在主板BIOS中隐藏自身,别说重装系统,就算是换硬盘都无济于事。

即使换硬盘也无法删除Hacking Team的远程控制软件

趋势科技的研究人员发现,虽然Hacking Team的远程控制系统(RCS)主要针对的是Insyde的主板BIOS,但AMI的主板BIOS也可能受到影响。

网上泄露出来的400G文档中包含了恶意软件源代码、客户列表、漏洞利用程序、零日漏洞等信息,趋势人员正是从中分析到了这个超级RCS。Hacking Team的一份PPT文档显示,安装这个UEFI工具需要物理接触目标计算机,攻击者需要重启系统进入UEFI的shell,提取固件信息,把工具写入dump出的镜像并刷回BIOS,然后重新引导目标系统。趋势研究人员表示,远程安装的可能性也不能排除。

该工具包有三个模块,功能分别为:

读取和写入NTFS文件系统;

挂入操作系统引导进程;

检测RSC是否存在于当前系统。

每当系统重启时,该工具会检测进程中是否存在两个文件scout.exe和soldier.exe。如果它们不存在,则在系统中预选定义好的位置上安装scout.exe。

能够藏身在BIOS中的恶意软件并不罕见,之前安全牛已经有过相关几次报道,但真正在市面上使用运行的真实案例还是非常罕见。

Hacking Team被黑事件仍然在放大,全球各地的安全研究人员目前都正在分析其被泄露出来的400G文档,并不断的挖掘出令人震惊的信息。目前爆出的3个flash和1个IE11的零日漏洞已经得到修补。

责任编辑:蓝雨泪 来源: 安全牛
相关推荐

2014-01-15 15:01:54

远程控制

2013-11-06 09:56:58

2013-09-09 11:12:06

网络人远程控制软件

2013-10-14 10:19:26

2013-10-21 18:30:19

2013-09-02 17:39:29

2013-09-29 10:37:32

2014-08-22 09:08:23

远程控制木马

2014-07-30 10:00:20

网络人远程控制软件

2015-07-07 17:21:46

2014-03-05 10:55:25

远程控制

2013-08-29 17:05:16

2015-07-16 17:08:14

零日漏洞远程执行漏洞Hacking Tea

2013-12-26 16:26:04

2016-05-03 09:27:21

2015-07-14 10:33:19

2013-08-15 10:56:27

远程控制软件

2014-01-17 17:33:32

远程开机

2014-10-14 18:25:23

远程控制软件

2014-10-14 18:03:11

远程监控
点赞
收藏

51CTO技术栈公众号