如何检测服务器主板上的Bios Rootkits？

Question

我最近在CanSecWest会议上读到了Corey和Xeno的一个谈话，其中描述了如何重新编程服务器主板的固件以包含恶意软件。这让我真的很担心！我现在正在寻找一种方法，如何确保某些给定的硬件在这方面没有受到锻炼。我该怎么做？

Answer 1

很明显的答案是把你的BIOS和制造商发布的BIOS进行比较.当然，这只在制造商发布的BIOS不包含一个rookit的情况下起作用。

如果做不到这一点，你就会有一个可以直接写几本关于.或者把价值数百万美元的IT安全咨询分成几个部分，所以这个主题太宽泛了，无法在这里讨论，但它与检测任何其他的rootkit并没有什么不同--你可以在一个较低的层次上检查日志和内存内容，并寻找系统做它不该做的事情的证据。2006年年，约翰·赫斯曼(约翰)在Blackhat欧洲做了一次有趣的关于ACPI BIOS rootkit的演讲，这似乎与此相关。。(PDF)

但底线是，这仍然是一种技术先进且相对罕见的恶意软件，可以针对高价值目标使用，而高价值目标可能不包括您。如果您确实有理由担心受到这种攻击的目标，您需要雇用一些专门的安全资源，并指导您的BIOS恶意软件的问题。记住，安全是一种保险。买一个10,000美元的墙保险箱来保护一叠1美元的钞票是没有意义的，就像在一个安全团队上花费几十万美元是没有意义的，除非你所保护的数据非常有价值。

信息安全堆栈交换站点可能更适合您有关该主题的任何进一步查询，还有已有许多关于BIOS恶意软件的问题和答案，您可能会感兴趣.。