如何检测服务器主板上的 Bios Rootkit?

如何检测服务器主板上的 Bios Rootkit?

我最近读到一篇关于讲话Corey Kallenberg 和 Xeno Kovah 在 CanSecWest 会议上发表了一篇论文,描述了如何重新编程服务器主板的固件以包含恶意软件。这留下了我真的很担心!我现在正在寻找一种方法来确保某些特定硬件在这方面没有被篡改。我该怎么做?

答案1

那么,显而易见的答案就是将您拥有的 BIOS 与制造商发布的 BIOS 进行比较……当然,这只有当你的制造商发布的 BIOS 不包含 rookit 时才有效

除此之外,您剩下的话题真的可以写几本书……或者转化为价值数百万美元的 IT 安全咨询,所以这个主题太广泛了,无法在这里全部涵盖,但它与检测任何其他 rootkit 并没有什么不同 - 您可以在较低的级别检查日志和内存内容,并寻找系统做不应该做的事情的证据。John Heasman 在 2006 年的 Blackhat Europe 会议上就 ACPI BIOS rootkit 做了一个有趣的演讲,这似乎与此相关. (PDF)

但最重要的是,这仍然是一种技术先进且相对罕见的恶意软件,用于针对高价值目标,而这些目标可能不包括您。如果您确实有理由担心成为此类攻击的目标,您需要聘请一些专门的安全资源,并向他们咨询有关 BIOS 恶意软件的问题。请记住,安全是一种保险。购买价值 10,000 美元的壁式保险箱来保护一叠 1 美元的钞票是没有意义的,就像除非您要保护的数据非常有价值,否则花数十万美元聘请安全团队是没有意义的。

信息安全 Stack Exchange 网站可能更适合你对这个话题的任何进一步疑问,而且已经有一些关于 BIOS 恶意软件的问题和答案,可能会引起你的兴趣

相关内容