作者 | 天地和兴工业网络安全研究院
【编者按】对设备硬件和固件的攻击是现代组织面临的最大威胁之一。固件保留最高权限,允许攻击者绕过传统控制,并提供更高级别的持久性。固件层也迅速成为网络安全中最活跃的领域之一,攻击者越来越多地将目光投向漏洞丰富且防御往往最薄弱的企业领域。根据Gartner报告称,到2022年,70%缺乏固件升级计划的组织将因固件漏洞而被攻破。固件黑客虽然通常不会与勒索软件、蠕虫和特洛伊木马等软件共享高额费用,但它们特别危险,能够绕过标准的反病毒软件,感染组织设备的下层堆栈。微软发布的一份新报告显示,过去两年中,超过80%的企业至少遭受了一次固件攻击,但是只有29%的安全预算被分配用于保护固件。
一、固件攻击威胁概况
固件攻击很难处理。国家资助的黑客组织APT28(Fancy Bear)于2018年被抓获,该组织使用统一可扩展固件接口(UEFI)rootkit攻击WindowsPC。也有依赖硬件驱动程序的攻击,如RobbinHood、Uburos、Derusbi、Sauron和GrayFish,以及ThunderSpy,这是一种理论上针对迅雷端口的攻击。
在微软的一项全球调查中,绝大多数公司报告称自己是以固件为中心的网络攻击的受害者,但企业普遍对待固件攻击的还不够重视。
这项研究基于来自中国、德国、日本、英国和美国的1000名企业安全决策者,显示大多数安全投资将用于安全更新、漏洞扫描和高级威胁保护解决方案。然而,尽管如此,许多组织仍然担心恶意软件访问其系统,以及检测威胁的难度,这表明固件更难监控,而缺乏意识和缺乏自动化也加剧了固件漏洞。
固件是硬件的核心。固件是一种永久性软件代码,用于控制PC中的每个硬件组件,它的主要功能是与计算机上安装的软件进行通信,以确保硬件能够正确执行命令。越来越多的网络犯罪分子正在设计恶意软件,悄悄篡改主板上的固件,或者篡改硬件驱动程序中的固件。这是一种巧妙绕过计算机操作系统用于检测恶意软件的方法,因为固件代码在硬件中,而硬件是操作系统下面的一层,防病毒软件在内存中看不到固件。目前市场上的许多设备都不能提供对这一层的可见性。而攻击者已经注意到了这一点。某些种类的固件通常仅与所安装计算机的品牌和型号兼容,这意味着完全可以重写或卸载它。硬件公司通常会推出固件更新,以解决此类问题,提供安全补丁并向设备添加新功能。
这是因为黑客能在设备启动之前就已经危及了固件的安全。通过将恶意软件推入较低级别的代码来实现,从而在系统初始化之前和之后对硬件进行管理。
一旦恶意代码进入系统,就能够:
• 修改和破坏固件
• 操作系统的目标部分
• 渗透软件
固件正在成为威胁分子的特权目标,因为它通常持有凭证和加密密钥等敏感信息。对固件的黑客攻击可能有多种形式,恶意软件、Bootkit和Rootkit都是流行的传播媒介。受感染的USB、损坏的驱动器和坏的固件产品也是需要注意的。黑客不需要与设备进行物理接触来传递代码,可以通过Wi-Fi、蓝牙和任何其他类型的网络连接远程完成。
美国商务部下属的国家标准与技术研究所(NIST)不断更新国家漏洞数据库(NVD),以更新新的安全漏洞。该数据库记录的针对固件的攻击在过去四年中增加了五倍。
缺乏用于固件保护的投资,如内核数据保护(KDP)或内存加密,是微软报告中最令人担忧的数据之一。
基于硬件的安全功能,如内核数据保护(KDP)或内存加密,阻止恶意软件或恶意威胁行为者破坏操作系统的内核内存或在运行时读取内存,是防范复杂内核级攻击的主要指标。Security Signals发现,36%的企业投资于基于硬件的内存加密,只有不到一半(46%)的企业投资于基于硬件的内核保护。微软的研究发现,安全团队关注的是“保护和检测”安全模式,指出安全团队只有39%的时间花在预防上。根据微软的说法,在内核攻击载体上缺乏主动防御投资就是这种过时模式的一个例子。
在接受采访的1000名企业安全决策者中,82%的受访者表示,他们没有足够的资源来来防止固件攻击,因为他们忙于修补、硬件升级以及缓解内部和外部漏洞。
二、固件漏洞对汽车业的影响
过去两年发现了几起重大固件攻击,比如RobbinHood,这是一种勒索软件,它使用固件获得对受害者计算机的超级用户访问权限,然后加密所有文件,直到支付比特币赎金。2019年5月,该恶意软件劫持了多个美国市政府的数据。
另一个例子是Thunderpy,这是一种利用PC硬件组件使用的直接内存访问(DMA)功能进行通信的攻击。这种攻击非常隐蔽,攻击者可以读取和复制计算机上的所有数据而不留下任何痕迹,即使硬盘驱动器加密、计算机锁定或设置为睡眠,也有可能进行攻击。允许恶意代码运行的远程或物理危害可能导致数据盗窃、系统损坏、间谍活动等。
固件漏洞影响一切,包括汽车行业。随着自动驾驶汽车的兴起,汽车行业也是黑客感兴趣的领域。如今,几乎所有的现代汽车都配备了Wi-Fi和蓝牙。随着车辆技术的进步,它们本身也成为了物联网设备。这意味着安全和操作更新都将通过空中传送(OTA)进行,这对制造商和所有者都具有非凡的意义。
然而,这项技术也吸引了黑客的兴趣。黑客利用OTA软件来安装恶意代码,这些代码可以控制车辆运行的某些方面。2018年,就发生了类似的攻击事件,当时一个俄罗斯网络间谍组织侵入LoJack反车辆盗窃系统,使修改后的软件能够将特洛伊木马植入车辆的启动程序中。一旦安装到位,该模块就能够镜像合法固件,这使得它能够挖掘系统周围的数据,并提供未经授权的访问。即使在更换硬盘和重新安装操作系统后,它也能保持原样。
三、固件安全的重要性
当考虑到电子产品中充斥着从网络摄像头、声卡到电池的固件时,固件黑客的攻击就会成倍地恶化。
通常情况下,网络罪犯倾向于攻击操作系统和流行软件,因为他们只有在能够感染最大数量的最终用户的情况下才能赚钱。与其他类型的网络攻击相比,固件攻击不太常见,实施起来也更复杂,但不幸的是,冠状病毒大流行加速了这一问题。
实施固件攻击可能很复杂,但如果攻击者可以悄悄地从高管的笔记本电脑中窃取关键信息(如密码),那么他们就可以利用这些信息渗透到公司的网络中,窃取更多数据。民族国家黑客最有可能使用这样的攻击。因为这是一个回报丰厚的大行动。
固件恶意软件利用了这种广泛的用法。由于固件不受加密签名保护,因此无法检测到入侵,这意味着IT安全团队可能需要数月时间才能找出问题所在。
这些固件攻击可能是危险的,因为它们很难被检测到。一旦它们被嵌入到代码中,它们可能会造成持续的危害,感染合法的固件更新,甚至可能在操作系统重新安装后继续存在,甚至彻底清除硬盘。
固件安全漏洞使组织面临的风险与不保护设备免受网络钓鱼或电子邮件黑客攻击的风险相同,例如:
• 监视用户活动
• 挖掘企业数据
• 远程控制企业设备
• 盗用用户身份
尽管固件攻击不像钓鱼诈骗、恶意软件或其他网络攻击那样无处不在,但现在是企业和整个科技行业关注硬件安全的时候了。固件之所以如此容易成为攻击目标,是因为它很容易被破坏。无论黑客入侵组织设备后会做什么,企业都需要知道如何从一开始就阻止攻击的发生。
四、实现固件安全的防护建议
目前的前景表明,鉴于2021年数据泄露的成本预计将达到6万亿美元,仍有许多工作要做。保护固件的安全主要掌握在硬件设计者手中,这一点非常重要。
从个人电脑到打印机,每种电子设备上都不断发现许多新的固件漏洞性。另一方面,这些发现迫使硬件制造商开发更强大的固件安全措施。一些制造商正在发布更新、补丁和更强大的安全措施,试图打击固件安全漏洞。这些解决方案包括英特尔的硬件盾牌、微软的操作系统保护和戴尔的增强型BIOS验证,所有这些都是为了解决这一领域长期被忽视的漏洞。固件打补丁有时可能很棘手,因此对很多公司来说,它已经成为一个盲点。
建议进行以下固件安全性操作:
1. 更新固件
许多制造商正在根据新发现的漏洞发布更新。这有助于确保固件正常工作,同时允许制造商向设备添加新功能。同时,需要用户养成寻找更新,并尽可能频繁地将固件更新到最新版本的习惯,并确保硬件平稳运行。
2. 只用可信的USB
USB安全是业界广泛讨论的一个话题。虽然它们是非常方便的设备,但在坏人手中,则可能是定时炸弹。
黑客可以将恶意软件存储在设备的固件上,以BadUSB为例,恶意软件几乎可以侵入所有USB设备的固件。一旦插入USB,恶意软件就会进入你的电脑。
BadUSB很难检测到,甚至更难删除,而且没有可用的快速修复程序来防止它。而唯一真正的保护措施是使用属于你的专用USB设备。
3. 购买内置固件保护硬件
作为消费者,能做的最好的事情就是购买包含高级固件安全性的硬件。
随着固件漏洞的增加,BIOS供应商和其他硬件公司正在努力完善他们的安全协议。以前面提到的戴尔增强型BIOS验证为例。它的工作原理是对照戴尔服务器上的官方“哈希”来评估BIOS映像。如果出现问题,它会立即提醒用户。
随着新的弱点暴露出来,将需要生成新的补丁和更新。对于个人来说,应该确保的是:
• 购买具有附加固件安全层的电子产品
• 尽可能地更新现有计算机
• 不插入个人无法识别的USB设备
微软研究报告还强调了基于硬件的攻击的风险,如ThunderSpy针对Thunderbolt端口的攻击,这些攻击使用直接内存访问(DMA)功能来危害访问Thunderbolt控制器的设备。
大多数组织(71%)的员工将时间浪费在活动上,总体而言,安全团队将41%的时间花在可以自动化的固件补丁上。幸运的是,人们对固件风险的认识程度正在不断提高,从而推动更多的投资进入这一领域。
此外,在调查的德国公司中有81%准备并愿意进行投资,相比之下,95%的中国企业和91%的美国、英国和日本企业愿意投资。89%的受监管行业公司表示愿意并有能力投资于安全解决方案。
固件攻击是当今组织面临的最具影响力的威胁之一。通过控制固件层,攻击者能够在设备上持久存在,规避传统安全,并确保访问设备上的最高权限级别。这些基本能力可以应用于从指挥和控制到横向移动,再到数据和资产的盗窃及破坏攻击的任何阶段。
攻击者还可以通过许多路径到达固件层。通过利用固件或易受攻击的驱动程序中的弱点,攻击者可以将基于传统软件和恶意软件的攻击扩展到固件层。此外,攻击者可以通过硬件供应链、公开端口,甚至通过远程媒介或固件更新过程,通过网络,直接以硬件为目标。与其他大规模网络威胁相比,固件攻击受到的关注要少得多,但是它们同样有能力给那些受影响的组织带来巨大的威胁。
参考资料:
1.https://www.microsoft.com/security/blog/2021/03/30/new-security-signals-study-shows-firmware-attacks-on-the-rise-heres-how-microsoft-is-working-to-help-eliminate-this-entire-class-of-threats/
2.https://threatpost.com/enterprises-firmware-cyberattacks/165174/
3.https://securityaffairs.co/wordpress/116344/hacking/firmware-attacks-microsoft-survey.html
4.https://www.zdnet.com/article/microsoft-firmware-attacks-are-on-the-rise-and-you-arent-worrying-about-them-enough/
5.https://www.thesslstore.com/blog/firmware-attacks-what-they-are-how-i-can-protect-myself/
6.https://www.bbc.com/news/business-56671419
声明:本文来自网络安全应急技术国家工程实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。