Security

如何檢測伺服器主機板上的 Bios Rootkit?

  • March 24, 2015

我最近閱讀了Corey Kallenberg和 Xeno Kovah 在 CanSecWest 會議上發表的演講,該演講描述瞭如何重新程式伺服器主機板的韌體以包含惡意軟體​​。這讓我真的很擔心!我現在正在尋找一種方法,以確保某些給定的硬體在這方面沒有受到影響。我怎樣才能做到這一點?

好吧,顯而易見的答案是將您擁有的 BIOS 與製造商發布的 BIOS 進行比較……當然,只有當您的製造商發布的 BIOS 不包含以 . 開頭的 rookit 時才有效

如果做不到這一點,你就會得到一個你可以寫幾本書的主題……或者投入價值數百萬美元的 IT 安全諮詢,所以這個主題太廣泛了,無法在這裡涵蓋,但它並沒有那麼不同與檢測任何其他 rootkit 相比——您在低級別檢查日誌和記憶體內容,並尋找系統在做不應該做的事情的證據。John Heasman 於 2006 年在 Blackhat Europe 就 ACPI BIOS rootkit 進行了一次有趣的演講,這似乎與此處相關。(PDF)

不過,最重要的是,這仍然是一種技術先進且相對罕見的惡意軟體類型,用於攻擊高價值目標,可能不包括您。如果您確實有理由擔心成為此類攻擊的目標,​​則需要聘請一些專門的安全資源,並將有關 BIOS 惡意軟體的問題直接指向他們。請記住,安全是一種保險。購買價值 10,000 美元的壁掛式保險箱來保護一堆 1 美元的鈔票是沒有意義的,就像在安全團隊上花費數十萬美元是沒有意義的,除非您要保護的數據非常有價值。

資訊安全堆棧交換站點可能更適合您對該主題的任何進一步查詢,並且已有許多關於 BIOS 惡意軟體的現有問題和答案可能會讓您感興趣

引用自:https://serverfault.com/questions/677826