Hacking Team的遠程控制軟件，結合了UEFI(統(tǒng)一可擴展固件接口)，能在主板BIOS中隱藏自身，別說重裝系統(tǒng)，就算是換硬盤都無濟于事。

趨勢科技的研究人員發(fā)現，雖然Hacking Team的遠程控制系統(tǒng)(RCS)主要針對的是Insyde的主板BIOS，但AMI的主板BIOS也可能受到影響。

網上泄露出來的400G文檔中包含了惡意軟件源代碼、客戶列表、漏洞利用程序、零日漏洞等信息，趨勢人員正是從中分析到了這個超級RCS。Hacking Team的一份PPT文檔顯示，安裝這個UEFI工具需要物理接觸目標計算機，攻擊者需要重啟系統(tǒng)進入UEFI的shell，提取固件信息，把工具寫入dump出的鏡像并刷回BIOS，然后重新引導目標系統(tǒng)。趨勢研究人員表示，遠程安裝的可能性也不能排除。

該工具包有三個模塊，功能分別為：

讀取和寫入NTFS文件系統(tǒng);

掛入操作系統(tǒng)引導進程;

檢測RSC是否存在于當前系統(tǒng)。

每當系統(tǒng)重啟時，該工具會檢測進程中是否存在兩個文件scout.exe和soldier.exe。如果它們不存在，則在系統(tǒng)中預選定義好的位置上安裝scout.exe。

能夠藏身在BIOS中的惡意軟件并不罕見，之前安全牛已經有過相關幾次報道，但真正在市面上使用運行的真實案例還是非常罕見。

Hacking Team被黑事件仍然在放大，全球各地的安全研究人員目前都正在分析其被泄露出來的400G文檔，并不斷的挖掘出令人震驚的信息。目前爆出的3個flash和1個IE11的零日漏洞已經得到修補。