Hacking Team的遠(yuǎn)程控制軟件，結(jié)合了UEFI(統(tǒng)一可擴(kuò)展固件接口)，能在主板BIOS中隱藏自身，別說重裝系統(tǒng)，就算是換硬盤都無濟(jì)于事。

趨勢(shì)科技的研究人員發(fā)現(xiàn)，雖然Hacking Team的遠(yuǎn)程控制系統(tǒng)(RCS)主要針對(duì)的是Insyde的主板BIOS，但AMI的主板BIOS也可能受到影響。

網(wǎng)上泄露出來的400G文檔中包含了惡意軟件源代碼、客戶列表、漏洞利用程序、零日漏洞等信息，趨勢(shì)人員正是從中分析到了這個(gè)超級(jí)RCS。Hacking Team的一份PPT文檔顯示，安裝這個(gè)UEFI工具需要物理接觸目標(biāo)計(jì)算機(jī)，攻擊者需要重啟系統(tǒng)進(jìn)入U(xiǎn)EFI的shell，提取固件信息，把工具寫入dump出的鏡像并刷回BIOS，然后重新引導(dǎo)目標(biāo)系統(tǒng)。趨勢(shì)研究人員表示，遠(yuǎn)程安裝的可能性也不能排除。

該工具包有三個(gè)模塊，功能分別為：

讀取和寫入NTFS文件系統(tǒng);

掛入操作系統(tǒng)引導(dǎo)進(jìn)程;

檢測(cè)RSC是否存在于當(dāng)前系統(tǒng)。

每當(dāng)系統(tǒng)重啟時(shí)，該工具會(huì)檢測(cè)進(jìn)程中是否存在兩個(gè)文件scout.exe和soldier.exe。如果它們不存在，則在系統(tǒng)中預(yù)選定義好的位置上安裝scout.exe。

能夠藏身在BIOS中的惡意軟件并不罕見，之前安全牛已經(jīng)有過相關(guān)幾次報(bào)道，但真正在市面上使用運(yùn)行的真實(shí)案例還是非常罕見。

Hacking Team被黑事件仍然在放大，全球各地的安全研究人員目前都正在分析其被泄露出來的400G文檔，并不斷的挖掘出令人震驚的信息。目前爆出的3個(gè)flash和1個(gè)IE11的零日漏洞已經(jīng)得到修補(bǔ)。