如何檢測伺服器主機板上的 Bios Rootkit？

我最近閱讀了Corey Kallenberg和 Xeno Kovah 在 CanSecWest 會議上發表的演講，該演講描述瞭如何重新程式伺服器主機板的韌體以包含惡意軟體​​。這讓我真的很擔心！我現在正在尋找一種方法，以確保某些給定的硬體在這方面沒有受到影響。我怎樣才能做到這一點？

好吧，顯而易見的答案是將您擁有的 BIOS 與製造商發布的 BIOS 進行比較……當然，只有當您的製造商發布的 BIOS 不包含以 . 開頭的 rookit 時才有效。

如果做不到這一點，你就會得到一個你可以寫幾本書的主題……或者投入價值數百萬美元的 IT 安全諮詢，所以這個主題太廣泛了，無法在這裡涵蓋，但它並沒有那麼不同與檢測任何其他 rootkit 相比——您在低級別檢查日誌和記憶體內容，並尋找系統在做不應該做的事情的證據。John Heasman 於 2006 年在 Blackhat Europe 就 ACPI BIOS rootkit 進行了一次有趣的演講，這似乎與此處相關。(PDF)

不過，最重要的是，這仍然是一種技術先進且相對罕見的惡意軟體類型，用於攻擊高價值目標，可能不包括您。如果您確實有理由擔心成為此類攻擊的目標，​​則需要聘請一些專門的安全資源，並將有關 BIOS 惡意軟體的問題直接指向他們。請記住，安全是一種保險。購買價值 10,000 美元的壁掛式保險箱來保護一堆 1 美元的鈔票是沒有意義的，就像在安全團隊上花費數十萬美元是沒有意義的，除非您要保護的數據非常有價值。

資訊安全堆棧交換站點可能更適合您對該主題的任何進一步查詢，並且已有許多關於 BIOS 惡意軟體的現有問題和答案可能會讓您感興趣。

引用自：https://serverfault.com/questions/677826