比 Rootkit 更狠的病毒：Bootkit 格式化硬碟都沒用！

一款新發現的 bootkit 可感染電腦最底層軟體，且在電腦開機時，Windows 作業系統還沒載入前即開始執行，而且至少今年初就已經開始活動。

之前造成為害甚烈的 Nemesis 惡意軟體套件就有 bootkit，雖然它目前只鎖定金融機構，但如果將 bootkit 的功能加入到普及性的軟體中，更多產業機構將難逃被入侵的威脅。

Bootkit 最可怕的地方在於它載入惡意程式的速度比 Windows 本身載入時間更快，使 Windows 程序難以辨識出惡意活動，所以移除它更困難，就算重灌作業系統也沒用。它很像 NSA 攻擊，即使磁碟全部格式化也殺不死，但到目前為止我們知道，大部份情況下攻擊者必須要能滲透到受害對象的硬體才行。如果被它滲透進電腦，這隻純軟體病毒就能安裝在很隱密的角落，永遠不被發現。

這隻病毒被安全人員稱為 Bootrash，它可感染電腦的主開機紀錄 (Master Boot Record, MBR)，後者含關於磁碟分區的基本資訊，以及如何初始化主要磁區的基本程式碼。 Nemesis 是安裝在磁區之間的空隙，而 Bootrash 則是在系統啟動時，注入在還在載入中的 Windows 程序中。在某種程度上，對 Windows 來說，這個開始時程式碼的集結過程是它執行的基礎，怎料它卻在 Windows 開始執行之前就變成惡意程式的藏匿所？

唯一能以防毒軟體將 bootkit 從電腦驅逐出去的方法，是針對所有 RAW 磁碟內容整批掃瞄，而非掃瞄正在進行中的活動。這是很花時間的事，尤其是大型連網伺服器有太多儲存區可以藏匿，而且這類掃瞄需佔用相當資源及運算時間。大部份掃毒軟體都不會檢查 Windows 登錄檔 (registry) 或是由 Bootrash 建立自我躲藏的虛擬檔案系統中－－防範這類攻擊需要全新的數位安全策略。

奇怪的是，Nemesis 作者似乎後來加入反安裝能力，可重建原本的開機程序。這種方法無法移除 Nemesis 程式碼或回復它在你未用磁碟區中自行建立的小型檔案系統，但卻可以防止 Nemesis 在開機時執行。為什麼攻擊者會加入自我毀滅的機制沒有人知道，不過可能原因是它將演化成「勒贖軟體 (ransomware)」。

要知道，bootkit 的目標不只是銀行或信用卡交易紀錄，它們基本上是技術更高超的 rootkit，從 Sony 到美國政府都曾經使用。 bootkit 比 rootkit 更難以殺死，但也使駭客無法自圓其說­－你還可以說是出於善意而安裝 rootkit，但 bootkit 則絕對是對使用者有目的而來。任何安裝 bootkit 的一般企業如果被發現，將可能要付上天價的代價。

不過值得一提的是，如果電腦沒有給 bootkit 接觸的機會，就不會有事。 bootkit 可能是高深的超級電腦病毒，但它接觸到目標電腦的方法，則和過去的惡意程式差不多：像是以電子郵件或社交媒體傳送魚叉式網釣訊息來欺騙個人上當。安全產業固然必須發展出更新、更厲害的防範技術，但安全教育及健康的上網習慣更是企業不可或缺的防線，做得愈多，損失愈少。

Source: ExtremeTech