时间紧迫,Windows和Linux用户需要尽快更新用于保护系统免受基于固件的UEFI感染的加密密钥。这类恶意软件极为危险,会在操作系统和反恶意软件防护启动之前便完成加载。
从6月24日起,三个用于加密验证系统启动过程中每个固件和软件组件的证书将正式过期。这些由微软签名的证书是安全启动(Secure Boot)机制的核心支柱,而安全启动正是微软设计的一套信任链体系。它通过检查系统启动过程中所有代码的数字签名,确保这些代码来源于可信赖的提供方,例如系统所使用的主板制造商。
安全启动的设计初衷是对抗引导程序病毒(Bootkit)。这类恶意软件会篡改系统在初始启动阶段负责加载固件和软件的程序。由于Bootkit会在操作系统及大多数其他代码之前完成加载,因此极难被检测到。一旦成功植入,它通常会向操作系统写入恶意程序,用于窃取凭据、开设系统后门或执行其他恶意操作。即便将操作系统成功清除感染,Bootkit依然能够使系统重新受到侵害,甚至在重装操作系统后仍能存活。
Bootkit的起源可以追溯到20世纪80年代初期,当时出现了数款以Apple II机型启动过程为攻击目标的恶意软件,主要通过打着盗版游戏旗号的软盘在公众中广泛传播。
进入21世纪初,Windows平台上的Bootkit逐渐引发关注,其雏形主要来自进攻性安全领域研究人员所开发的概念验证程序。2005年黑帽安全会议上展示的BootRoot很可能是最早的代表性案例。该恶意软件感染了网络驱动接口(NDI),而该接口负责协调网络协议驱动程序之间的通信,包括TCP/IP网络适配器驱动等服务。此后,类似的概念验证程序相继涌现,包括Vbootkit、Stoned Bootkit和Mebroot等,数量众多。
2012年,一种新型Bootkit形态被公开演示。与通过BIOS或主引导记录攻击设备的传统方式不同,其中一款Bootkit通过感染EFI(负责启动引导过程的固件包)来攻击Mac OS X系统;另一款较为原始的Bootkit则通过感染UEFI的前身来针对Windows 8系统发起攻击。2013年前后,一名研究人员演示了一款名为Dreamboat的更高级Windows UEFI Bootkit。
首个已知的真实UEFI攻击案例出现在2018年,研究人员发现了一款被命名为LoJax的恶意软件。它改造自一款名为LoJack的合法防盗软件,由被追踪命名为Sednit、Fancy Bear及APT 28的克里姆林宫背景黑客组织所开发。该恶意软件通过远程利用能够读写UEFI固件闪存的恶意工具完成植入。
2020年,研究人员发现了第二例已知的真实UEFI恶意软件攻击案例。每当受感染设备重启,其UEFI便会检测Windows启动文件夹中是否存在某个恶意文件,若不存在则将其重新安装。卡巴斯基研究人员将这款恶意软件命名为"MosaicRegressor",但目前仍未查明UEFI遭到感染的具体途径。此后,又有多款新型UEFI Bootkit相继曝光,分别被命名为ESpecter、FinSpy和MoonBounce等。
为应对上述威胁,微软联合设备制造商共同开发了安全启动机制——一项行业通用标准,通过加密签名确保系统启动过程中加载的每一段软件均经过计算机制造商的信任认证。安全启动旨在构建一条信任链,防止攻击者将正常的启动固件替换为恶意固件。若启动链中任意一环无法被识别,安全启动将阻止设备启动。
Q&A
Q1:安全启动证书过期会带来什么影响?
A:从6月24日起,三个由微软签名的安全启动证书将正式过期。这些证书是系统启动信任链的核心。一旦过期且未及时更新,系统在启动过程中将无法正常验证固件和软件的合法性,可能导致安全启动机制失效,使系统暴露在Bootkit等固件级恶意软件的攻击风险之下,严重威胁系统安全。
Q2:什么是Bootkit?它和普通病毒有什么区别?
A:Bootkit是一种特殊的恶意软件,它专门攻击系统的启动流程,能够在操作系统和杀毒软件加载之前率先运行。与普通病毒不同,Bootkit极难被检测和清除,即使重装操作系统也无法彻底消除,因为它潜伏在系统固件层面。一旦感染,它可窃取凭据、植入后门或执行其他恶意操作,危害极大。
Q3:安全启动是如何防护UEFI攻击的?
A:安全启动通过数字签名机制,对系统启动阶段加载的每一段固件和软件进行逐一验证,确保所有代码均来源于受信任的制造商。它构建了一条完整的信任链,若其中任何一个环节的签名无法通过验证,系统将拒绝启动,从而有效阻断攻击者将恶意固件植入启动流程的企图。
好文章,需要你的鼓励
Uber年度失物报告首次纳入无人驾驶出租车数据。过去一年,乘客在Uber平台的机器人出租车中遗留了数千件物品,包括手机、钥匙、钱包等常见物品,以及假牙、15磅溜溜球等奇特物件。乘客可通过App联系客服找回失物,支付15美元即可享受同城配送,或前往车辆停放站自取。Uber表示,将依托现有运营体系为自动驾驶业务提供全面支持,计划2025年底前在全球15座城市开通无人驾驶打车服务。
英伟达推出Nemotron-Labs-Diffusion三模式语言模型,将逐字生成、并行扩散与自猜自验融于一体,单用户吞吐量最高达Qwen3-8B的4倍,同时保持相近准确率。
Uber周三发布了一款基于现代Ioniq 5改装的数据采集原型车,搭载14个摄像头、8个固态激光雷达和9个雷达,通过英伟达双驱Thor计算机处理数据。Uber计划今年在全球部署500辆此类车辆,每月可采集200万英里高保真驾驶数据,供Avride、Waymo、WeRide等30余家自动驾驶合作伙伴使用。这是Uber自2020年出售自动驾驶部门以来首次自主组装车辆,也是其AV Labs部门的重要进展。
SIEVE是一种面向机器人模仿学习的数据筛选方法,通过发现可复用行为原语和转换接口,用50%数据和训练量超越全量训练效果。