回顾Linux路由遭打击新技术感染BIOS

　　上周安全方面值得关注的新闻众多。道高一尺，魔高一丈，针对Linux家用路由器和能够感染主板BIOS的恶意软件的出现，恶意软件再次领先于现有反病毒软件所用的技术。软硬件厂商本周也发出多个安全漏洞公告，Mozilla、HP和Cisco的产品均不能幸免。在本期回顾的安全技术和趋势栏目里面，笔者将和朋友们一起关注最近推出的三个安全及攻击领域的新技术。在本期回顾的最后，笔者将向朋友们推荐一篇值得一读的推荐阅读文章。

　　本周的信息安全威胁等级为低。

　　恶意软件：僵尸网络针对Linux家用路由器；新技术使恶意软件能感染BIOS；关注指数：高

　　在互联网发展的最早期，路由交换等网络通信的功能都是由采用Unix系统的服务器所完成，用后门对这种网络底层服务器发起攻击的入侵手法曾风靡一时，曾有美军欧洲骨干网络的核心路由器被黑客攻陷并安装监听软件的记录。

　　随着近二十年来嵌入式技术的飞速发展，兼职的Unix服务器渐渐为功能及性能都更强的交换机、路由器等专用网络设备所取代，针对这类目标的攻击也主要变成入侵并修改设置这种手法为主。

　　不过因为这几年低成本的Linux路由器大量进入家用市场，针对这类路由器进行恶意软件攻击的现象再次出现。根据安全研究组织DroneBL最近发表的一份研究报告，一个名为PSYB0T的僵尸网络从去年底开始，就专门针对基于MIPS架构，并采用嵌入式Linux作为操作系统的路由器、调制解调器等家用网络设备进行攻击，被成功感染的家用网络设备将成为PSYB0T僵尸网络的一员，并在该僵尸网络作者的控制之下向目标发起拒绝服务攻击。

　　安全人员的进一步研究表明，目前PSYB0T僵尸网络所攻击的家用网络设备主要是Netcomm公司的NB5调制解调器，但相信采用与该调制解调器相似软硬件架构的其他家用网络设备也都存在受攻击的可能。据信目前已经感染PSYB0T的调制解调器数量已达数万，它们都存在弱口令这一漏洞并对互联网开放远程登录功能，PSYB0T将通过远程登录功能登录存在弱点的设备，下载并执行一个PSYB0T的副本，绝大多数用户在遭受此类攻击时并不知情。

　　笔者认为，尽管目前受PSYB0T影响的家用网络设备在欧洲和中西亚国家使用较多，但其他厂商类似架构的家用网络设备也有可能受此攻击，同时对PSYB0T的代码进行少量的修改，攻击者就能实施更为高级的DNS欺骗，密码拦截等攻击，威胁用户敏感信息的安全。不过防御PSYB0T的方法也很简单，对网络设备设置一个复杂的登录密码，并禁用互联网用户登录网络设备进行远程管理，如果怀疑自己的类似网络设备已经被恶意软件感染，直接REST设备即可。

　　除了上述能够感染家用网络设备的跨平台恶意软件外，为了逃避反病毒软件的查杀，更长久控制用户的系统，恶意软件的隐藏和生存技术也有了较大的发展。本周来自安全厂商Core Security的两名研究人员就发布了一个新的攻击技术：将Rootkit恶意软件写入商业化的BIOS中，这个过程可通过他们提供的另一Python程序，在BIOS升级或重新刷新的过程中完成。

　　在成功的将这样的Rootkit安装进主板的BIOS后，这个Rootkit即可在操作系统启动前运行，并通过BIOS自身提供的网络堆栈，访问并攻击网络中的其他系统，而无需访问系统磁盘或内存。这个基于BIOS的Rootkit与系统中安装的操作系统关系不大，研究人员就给出了对OpenBSD和Windows操作系统的成功攻击案例，另外，因为虚拟机软件如Vmware等也将BIOS的功能集成于软件内部，因此这种攻击方式对虚拟机也能凑效。

　　这种攻击方式存在需要在用户系统上有管理员权限才能成功实施的缺陷，不过攻击者可以很容易通过伪造虚假的BIOS升级程序等方式，欺骗用户将带有Rootkit代码的更新程序刷入自己主板的BIOS中。

　　由于基于BIOS的Rootkit能够在操作系统启动之前抢先运行，并通过BIOS提供的底层功能隐藏自己的痕迹，因此现有的操作系统和反病毒软件可能无法有效的检测和清除这类恶意软件。笔者觉得，要防御这种基于BIOS的Rootkit，现有最可行的方法还是将BIOS的写保护选项打开，防止用户误操作或被恶意软件刷新BIOS；用户如果决定要更新BIOS，在进行刷新操作前最好使用MD5或数字签名方式，验证该BIOS更新程序是安全的。

　　漏洞攻击：多个软硬件厂商产品纷纷爆出漏洞；关注指数：高

　　在三月份的最后一周（也是第一季度的最后一周）里，各软硬件厂商发布的漏洞公告再次成为安全业界一道特别的风景线：浏览器厂商Mozilla确认，其主流的浏览器Firefox 3.0.x版本中存在一个内存错误漏洞，特定条件下触发将会引起浏览器执行不可预测的行为，攻击者可以利用该漏洞在Firefox用户的系统上安装恶意软件，据信利用该漏洞的示例代码已经发布到互联网上。Mozilla的开发人员已经在针对该漏洞编写更新程序，并计划于4月初推出，到时Firefox用户注意开启浏览器的自动更新功能即可。

　　惠普HP在市场上广受欢迎的网络管理系统HP OpenView在本周也爆出多个严重的安全漏洞，这些漏洞存在于HP OpenView的Web服务器对HTTP请求的处理过程，攻击者在了解这些漏洞的前提下，只需要通过特定格式的HTTP请求就能通过这些漏洞在HP OpenView服务器上执行命令。

　　由于网络管理系统能有效提升企业对大型网络和服务器群的管理能力，攻击者对企业内网中的网络管理服务器发起攻击，将可能更容易的获得网络中其他服务器的控制权，最起码也能缩短管理员得知攻击的时间。惠普已确认HP OpenView中这些漏洞的存在，并以发布相应的支持信息，用户可通过HP技术支持网站了解信息和下载修补这些漏洞的更新补丁。

　　网络设备厂商Cisco也在本周初发布了漏洞安全公告，确认在其多个网络设备产品上使用的IOS存在多个漏洞，其中涉及到的应用领域包括TCP、UDP、移动应用和VPN等。这些漏洞大多是拒绝服务攻击漏洞，可导致存在漏洞的网络设备效率降低或停止响应，不过也有少数的几个是权限提升漏洞。Cisco已经就本次安全公告涉及的漏洞提供解决步骤和软件更新，建议使用Cisco网络设备的用户登录以下站点以获得进一步的操作指南和更新程序：

　　http://www.cisco.com/warp/public/707/cisco-sa-20090325-bundle.shtml

　　安全技术和研究：安全和攻击新技术层出不穷；关注指数：高

　　传统的键盘记录攻击技术基本上可以分成软件和硬件两类，用特定的键盘记录软件插入到用户的系统上，自动记录用户输入的每一个字符；或通过在键盘和主机之间插入一个小的击键记录设备，完成键盘记录攻击。不过上述的键盘攻击方式都是需要修改目标系统的软硬件环境，容易被用户所察觉。在上周的CanSecWest会议上，研究人员推出了一种新的键盘记录方式，即通过激光来记录用户的击键记录。