安全研究人員Jonathan Brossard創(chuàng)建了一個(gè)概念驗(yàn)證的硬件后門，叫做Rakshasa，據(jù)說可替換掉電腦的BIOS（基本輸入輸出系統(tǒng)）并可在啟動(dòng)時(shí)危害到操作系統(tǒng)，但卻不會(huì)在硬盤上留下任何痕跡。

Brossard現(xiàn)任法國(guó)一家安全公司Toucan系統(tǒng)的CEO和安全研究工程師，他在周六的Defcon黑客大會(huì)上演示了這個(gè)惡意軟件的工作原理。而在周四的黑帽大會(huì)上，他也演示了同樣的內(nèi)容。

Rakshasa是印度神話中的魔鬼羅剎的名字，它也并非頭一個(gè)以BIOS（底層主板固件，主要功能是初始化其他硬件元件）為目標(biāo)的惡意軟件。然而，它與其他相似的惡意軟件大相徑庭的是使用了新的欺騙手段，可避開探測(cè)，持續(xù)駐留。

羅剎可替換掉主板上的BIOS，同時(shí)也可感染其他外設(shè)的PCI固件，例如網(wǎng)卡或CD-ROM，這是為了達(dá)到很高的冗余度。

羅剎是用開源軟件開發(fā)的，可用Coreboot和SeaBIOS的一種組合取代廠商的BIOS，可以完成不同廠商的各種主板的工作。Brossard還為電腦的網(wǎng)卡編寫了一個(gè)叫iPXE的開源網(wǎng)絡(luò)啟動(dòng)固件。

所有這些組件均已被修改，所以不會(huì)顯示任何東西，不會(huì)在啟動(dòng)過程中留下任何痕跡。Coreboot甚至還可模仿被取代的BIOS中用戶定制的啟動(dòng)屏幕。

現(xiàn)有的電腦架構(gòu)給每種外設(shè)都提供了訪問RAM的同等權(quán)限，Brossard說。“所以CD-ROM驅(qū)動(dòng)器也能夠非常完美地控制網(wǎng)卡。”

這就是說，即便某人想要恢復(fù)原來的BIOS，這個(gè)駐留在網(wǎng)卡上或者CD-ROM上的無賴惡意軟件也能夠再次將其刷新為無賴的BIOS，Brossard說。

能讓讓這個(gè)惡意軟件失靈的唯一辦法就是關(guān)掉電腦，手動(dòng)刷新每一個(gè)外設(shè)，但是這種方法對(duì)于大多數(shù)用戶來說是行不通的，因?yàn)檫@需要專業(yè)的設(shè)備和高級(jí)技能。

Brossard之所以要?jiǎng)?chuàng)建羅剎，是為了證明硬件后門是實(shí)際存在的，而且可以在一臺(tái)電腦交付給最終用戶的整條供應(yīng)鏈中的某個(gè)地方加入。他指出，如今的大多數(shù)電腦，包括Mac機(jī)在內(nèi)，多數(shù)都來自中國(guó)。

然而，如果有攻擊者通過不同的惡意軟件感染或者利用漏洞而獲得電腦上的系統(tǒng)特權(quán)，理論上講他們也能夠擦寫B(tài)IOS，部署羅剎。

不過Brossard也承認(rèn)，這種遠(yuǎn)程攻擊方法并不能每次都奏效，因?yàn)橛行㏄CI設(shè)備為了擦寫新的固件都有一個(gè)物理開關(guān)，有些BIOS還有數(shù)字簽名。

但是Coreboot在擦寫網(wǎng)卡之前有優(yōu)先權(quán)可以上傳一個(gè)PCI擴(kuò)展固件，因此可繞開物理開關(guān)的問題。

Brossard說，如果你可以在現(xiàn)實(shí)中進(jìn)入電腦的話，那么攻擊什么時(shí)候都可以進(jìn)行，但如果只能遠(yuǎn)程的話，那就只有99%的時(shí)間可能進(jìn)行。

在網(wǎng)卡上運(yùn)行的iPXE固件被配置成可上傳一個(gè)bootkit——一段惡意代碼，可先于操作系統(tǒng)被加載，并在任何安全軟件開始加載之前摧毀它們。

一些著名的惡意軟件程序都把bootkit代碼存儲(chǔ)在硬盤主引導(dǎo)記錄（MBR）內(nèi)，這就讓電腦檢查專家和防病毒軟件很容易發(fā)現(xiàn)并去除之。

羅剎之所以不同，就是因?yàn)樗捎昧薸PXE固件，可以遠(yuǎn)程下載bootkit，每次在電腦啟動(dòng)時(shí)將其加載到RAM中。

Brossard說，“我們從不觸碰文件系統(tǒng)。”如果你把硬盤交給一家公司去分析，他們肯定查不到這個(gè)惡意軟件的存在。

除此之外，在bootkit完成其工作之后，亦即對(duì)內(nèi)核進(jìn)行惡意修改之后，它便可從內(nèi)存中卸載。這就是說電腦RAM的內(nèi)核檢查也發(fā)現(xiàn)不了它。

Brossard說，想要檢測(cè)這種類型的威脅非常困難，因?yàn)檫@些程序駐留在操作系統(tǒng)內(nèi)，而操作系統(tǒng)需要從內(nèi)核獲取信息。Bootkit可以很好地偽裝這些信息。

iPXE固件還可通過以太網(wǎng)、Wi-Fi或Wimax進(jìn)行通信，支持包括HTTP、HTTPS和FTP在內(nèi)的多種通信協(xié)議。這也給潛在的攻擊者提供了多種選擇。

例如羅剎可以從任意一篇帶有.pdf后綴的博客文章中下載bootkit。還可以發(fā)送受感染電腦的IP地址和其他網(wǎng)絡(luò)信息給預(yù)先設(shè)定的某個(gè)郵箱。

攻擊者可以在加密的HTTPS連接上直接與網(wǎng)卡固件通信，推送配置升級(jí)或者惡意軟件的新版本，而接受指令和控制的服務(wù)器也可在不同網(wǎng)站間來回循環(huán)，使得執(zhí)法更加困難，安全研究人員也很難將其清除。

Brossard沒有公開發(fā)布羅剎惡意軟件。但是由于其大部分組件都是開源的，所以只要有足夠的知識(shí)和資源的人應(yīng)該是可以復(fù)制出來的。目前網(wǎng)上已經(jīng)有了一篇研究性論文，詳細(xì)解釋了這個(gè)惡意軟件的實(shí)現(xiàn)。