两名研究人员开发了一个能够进行自我复制的苹果恶意固件,它可以感染苹果计算机的外围设备并传播到新的计算机上。
该恶意固件已经是第二代版本,研究人员将其命名为雷击2代。与今年早期的第一代相比,它的先进之处在于,无需攻击者物理接触计算机。两位研究人员之一的哈得森表示,他的POC(概念验证代码)会在计算机启动时故意发出嗓音,并显示一个LOGO,此时真正的攻击通过虚拟化或系统管理模式悄悄地进行。
雷击2使用本地root权限,能够上传核心模块从而访问原始内存并解锁和重写主板启动闪存。“它还能够搜索PCI总线,寻找可移除的Thunderbolt设备并把自身写入Option ROM中。”
“当被感染的适配器插在一台新的苹果电脑上后,在系统启动时,Option ROM就由EFI固件执行……”
雷击2一旦安装到启动闪存中便难于移除,因为它从一开始就控制着系统,不管你是重装系统还是换硬盘都无济于事。
