新黑客程序可在操作系統外運行 殺軟難察覺

【賽迪網-IT技術報道】美國佛羅里達州安全企業Clear Hat Consulting的兩位研究人員日前宣佈，他們開發出了一款概念性的rootkit黑客程序，能夠在操作系統外運行，無法被任何現有殺毒軟體或防火牆察覺。

這一新安全威脅的奧妙來自於它的運行方式，該rootkit工作在系統管理模式（SMM）下。這種模式下的代碼運行在完全獨立的儲存空間內，對主記憶體和操作系統來說是完全隱形的。SMM這種更貼近硬體的運行方式早在386時代就已經出現，目的是為了讓處理器開發人員使用軟體方式修正Bug，或是提供諸如控制處理器進入休眠狀態等電源管理功能。

開發者Shawn Embleton和Sherri Sparks表示，這種rootkit可以被用來竊取受害計算機中的所有資料。但它幾乎不可能被廣泛傳播，因為更貼近硬體，它需要使用難度頗高的彙編語言來編寫，並且極為依賴硬體。黑客需要為某一台機器專門編寫攻擊代碼，因此更可能出現在針對企業、政府系統的大規模入侵行動中。

兩位開發人員將在今年8月的Black Hat安全會議上展示這種攻擊方法。他們表示，儘管這種rootkit非常難以發現，但並不意味著說它完全無解。他們將在會議上探討如何防禦這種攻擊的技術手段。

(