A Survey on the Evolution of Bootkits Attack and Defense Techniques

According to the boot process of modern computer systems,whoever boots first will gain control first.Taking advantage of this feature,a malicious code called bootkit can hijack the control before the OS bootloader and bypass security mechanisms in boot process.That makes bootkits difficult to detect or clean up thoroughly.With the improvement of security mechanisms and the emergence of UEFI,the attack and defense techniques for bootkits have constantly been evolving.We first introduce two boot modes of modern computer systems and present an attack model of bootkits by some sophistical samples.Then we discuss some classic attack techniques used by bootkits from their initial appearance to the present on two axes,including boot mode axis and attack phase axis.Next,we evaluate the race to the bottom of the system and the evolution process between bootkits and security mechanisms.At last,we present the possible future direction for bootkits in the context of continuous improvement of OS and firmware security mechanisms.

针对插入攻击型Bootkit的分析及检测

通过分析Bootkit采用的关键技术,研究目前已有Bootkit样本的工作原理,给出插入攻击型Bootkit形式化描述,建立一个通用的插入攻击型Bootkit模型.针对该模型建立了Bootkit检测模型,并在检测模型基础上提出新的检测算法.新算法不仅能检测目前已有的样本,而且适用于所有符合插入攻击型Bootkit模型的未知Bootkit.最后对该检测算法进行了测试,实验结果表明,提出的算法可对Windows平台上的多款基于NT内核的Bootkit实现有效检测,同时能够确定Bootkit的类型.

UEFI Bootkit模型与分析

分析了UEFI Bootkit的工作原理和关键技术;在Harold木马模型的基础上,给出了UEFI Bootkit的形式化描述;分析了UEFI Bootkit和木马在隐蔽技术方面的差异,建立了UEFI Bootkit协同隐藏的形式化模型;给出了模型的一个应用实例,理论证明了在操作系统内核启动前检测Bootkit比在操作系统启动完成后检测具有更好的效果;开发了一套在操作系统内核加载前就开始检测的UEFI Bootkit检测系统;使用检测系统进行了实际的测试,结果表明,UEFI Bootkit检测系统具有较好的检测效果,有效地验证了模型的准确性。

基于MBR的Windows bootkit隐藏技术

对Windows系统环境下的bootkit隐藏技术进行了研究,提出了bootkit协同隐藏的形式化模型。结合协同隐藏思想,实现了一个bootkit原型。该原型基于MBR并通过多级hook完成了对Windows系统内核启动的劫持。实验结果表明,该原型体现了协同隐藏的思想,能够有效地隐藏运行。

Windows下BIOS Bootkit检测系统设计

为了对新型高隐藏性木马BIOS Bootkit实现快速检测、准确定位,提出一种BIOS Bootkit检测方案:IBBDS存放于引导盘,以尽早获取系统的执行权限,通过对IVT模块、ISA模块和HOOK INT13H模块的检测,在系统的启动过程即实现对BIOS Bootkit的捕获.试验验证了该检测方法的有效性.

基于JTAG仿真的ARM Linux设备Bootkit检测技术研究

ARM Linux嵌入式设备正遭受着日益严重的Bootkit威胁。针对传统检测技术对Bootkit检测的局限性,提出了一种基于JTAG的固件底层检测方法。该方法以基本块级跟踪和循环识别构成的系统跟踪优化算法为基础,利用跟踪系统的启动过程中记录到的信息,对Bootloader引导阶段和内核启动阶段进行监控,从而实现对ARM Linux嵌入式设备Bootkit的分阶段检测。实验结果表明,以跟踪优化算法为基础的Bootkit分段检测技术不仅极大地提高了跟踪效率,而有有效检测出了Bootkit的存在,达到了预期效果。

基于PBD技术的Anti-Bootkit优先启动

Bootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展形式,对系统启动和内核准入安全提出了最新挑战。在Bootkit入侵和Anti-Bootkit的检测的攻防对抗中,能做到优先启动往往是制胜的关键;而目前主流的Anti-Bootkit/Rootkit软件由于固守传统的启动方式,很容易被Bootkit利用固有优势绕过、劫控、篡改、移除而形同虚设。通过反汇编并跟踪调试Windows引导执行流程,反利用Bootkit入侵思想,提出了新的利用PBD(pre-bootable driver)技术来做到优先启动的方案设计。利用该方案可以有效做到Anti-Bootkit优先启动,为其实施布控提供了可信的内核执行环境,从而为防范Bootkit提供了新的思路和技术参考。

基于BOOTKIT原理恶意代码控制技术研究

首先分析了BIOS的启动过程,给出了BIOS启动过程中的控制权传递方法,分析了BIOS启动过程中POST阶段与BootBlock阶段分别完成的工作。然后提出了基于Bochs的BIOS代码安全性检测方法,对BIOS加载后的内存空间分布情况进行了分析,对可能造成安全隐患的环节进行代码跟踪,并给出了正常情况下的代码及功能。

基于磁盘数据分析的Bootkit静态检测研究与实现

Bootkit这种新型恶意代码通过感染磁盘的主引导记录(MBR)或卷引导记录(VBR)来获取执行权,从而将加载时间大大提前以使常规基于动态行为分析的安全软件都不能对其进行有效检测[1]。针对Bootkit检测这一难题提出一种新型静态检测方法,设计实现相关的MBR匹配算法,并针对国内外知名的Bootkit恶意代码样本进行实验。实验结果显示此方法可以有效检测出当今主流的Bootkit恶意代码,进而证明了静态检测思路的可行性。

Windows Bootkit实现及其检测系统设计

作为新型的劫持系统内核技术,Windows Bootkit具有较强的隐蔽性和免杀能力,引发了严峻的计算机安全问题。通过分析研究Windows Bootkit的实现方式,并结合可信计算检测原理,设计了一种基于可信计算技术的Windows Bootkit检测系统,应用结果表明,该系统能检测出各种形式的Windows Bootkit,可有效增强Windows操作系统下计算机的安全性。

基于UEFI固件的BOOTKIT检测技术研究

基于UFEI的BOOTKIT攻击能对UFEI固件、操作系统的完整性进行破坏,严重影响计算机安全。基于此,该文提出一种新的基于UEFI固件的BOOTKIT检测方法UDS,来保护固件和操作系统的安全。UDS以UEFI虚拟设备驱动程序的形式实现,在OS之前加载启动;采用了将完整性检测与文件恢复相结合的策略,对固件和操作系统内核进行保护;并通过代码混淆和文件隐藏的方法,防止UDS自身被BOOTKIT攻击。实验表明,UDS能有效保护固件和OS的完整性,防范基于UEFI的BOOTKIT攻击,具有启动时间早、空间开销少及自我保护性好的优点。

Windows7安全启动技术分析

分析Windows7中的安全启动技术,研究基于可信计算的BitLocker驱动器加密的启动流程。针对实现过程中存在的BitLocker、Bootmgr安全隐患,设计BitLocker、Bootmgr绕过方案以及地址空间格局随机化的应对方案,验证了Windows7的安全启动保护措施仍可能被Bootkit等恶意软件攻破。