可繞過所有安全防護的新「暗影 BIOS」技術

在 2025 年黑帽資安大會（Black Hat）上，日本資安公司 FFRI Security 的研究員松尾和輝將分享他與團隊開發的「暗影 BIOS」技術。

這項技術與傳統的 UEFI 韌體攻擊和 Bootkit 技術最大的差異，在於它幾乎完全不需要與作業系統（OS）互動。因此，攻擊者能在防毒軟體、EDR（Endpoint Detection and Response）解決方案和 XDR（Extended Detection and Response）系統等作業系統層級的資安防護工具無法發現或處理的環境中執行攻擊活動。

傳統 UEFI 惡意程式的限制

統一可延伸韌體介面（UEFI）是 BIOS 的進階版本，負責連接電腦硬體與作業系統的標準介面。APT（Advanced Persistent Threat）駭客會將 UEFI 視為攻擊目標，主要是因為它在電腦開機時比作業系統還早啟動。這種「搶先執行」的特性讓惡意程式能夠深植系統，即使重開機或重灌系統也無法清除，並且能在防毒軟體啟動前就先將其停用。

不過，UEFI 惡意程式仍有其限制。雖然能比作業系統先執行，但最終還是得透過作業系統來操作設備並進行攻擊活動，因為惡意程式需要一個平台來執行資料竊取、下載其他惡意程式等行為。

這種依賴作業系統的特性使 UEFI 惡意程式容易被資安防護機制偵測。雖然它可以嘗試在開機過程中停用資安軟體，但這並非易事。駭客必須熟悉目標電腦上可能安裝的資安軟體、這些程式使用的核心驅動程式，以及如何繞過它們。因此，各類 UEFI 惡意程式在實務上都面臨不同挑戰。例如，目前沒有任何惡意程式能夠躲避 Windows ETW（Event Tracing for Windows），這是 Windows 系統用來追蹤和記錄活動的核心功能。

松尾指出，即使駭客成功開發出能繞過所有防護機制的 Bootkit，使用者也會因為系統中的所有防護機制都被停用而察覺異常。針對這個問題，松尾和他的研究團隊提出了一種創新方法，讓 UEFI 惡意程式能完全獨立於作業系統運作，從而具備繞過任何現有資安防護機制的能力。

暗影 BIOS 的運作原理

在正常情況下，一旦作業系統在開機過程中接管控制權，UEFI BIOS 環境所提供的功能和資源就會因為不再需要而被釋放。

然而，松尾團隊的研究突破在於找到了一種方法，能讓 BIOS 環境持續存在到系統運作階段。此暗影 BIOS 技術使電腦即使在作業系統啟動後，仍能在記憶體中保留 BIOS 環境，並讓它繼續運作。

松尾解釋，他們透過修改記憶體對照表（Memory Map）來欺騙作業系統載入程式，該對照表是 UEFI 的組件，用於描述記憶體的配置方式。當 BIOS 將控制權移交給作業系統時，會將這個對照表傳給 Boot Loader。松尾團隊使用技術手段欺騙系統，使其誤認為儲存 BIOS 功能的記憶體區塊在系統正常運作時仍需保留。

保留 BIOS 環境使駭客能夠完全在這個環境中執行惡意程式。可以將其視為一個駭客專屬的第二個微型作業系統，與機器的實際作業系統同時運行，但完全不被後者及其上運行的所有程式所察覺。

由於 BIOS 有自己的記憶體管理和設備驅動程式 (類似作業系統)，駭客可以直接在 BIOS 環境中執行惡意程式。駭客可使用 C 語言撰寫專為 BIOS 環境設計，但運作方式與一般惡意軟體相似的惡意程式。在 Windows 惡意程式中，當需要建立檔案時，會呼叫 Windows 或核心 API；而松尾團隊的純 BIOS 模型則直接使用 BIOS 功能，如磁碟 I/O 協定來寫入檔案。

松尾表示，實作暗影 BIOS 的複雜度不高於現有的 UEFI Bootkit，主要因為它不需要進行任何二進位碼修改。傳統的 UEFI Bootkit 依賴大量的 Hook 和 Pattern Matching 技術，而暗影 BIOS 則完全不需要這些功能。

最令人擔憂的是，由於 UEFI 是業界通用標準，暗影 BIOS 惡意程式可以在任何個人電腦、伺服器或主機板上以相同方式運行。

暗影 BIOS 能被防範嗎？

由於一般資安軟體無法偵測暗影 BIOS，防範這類純 BIOS 惡意程式需要採取特殊防護措施。資安專業人員必須主動預防性地進行記憶體 Dump 並檢查可疑程式碼，即使沒有明顯跡象顯示系統遭受感染。

幸運的是，記憶體 Dump 和分析的過程比想像中簡單。松尾與其團隊將在黑帽大會演講中示範如何使用名為「Kraftdinner」的開源工具輕鬆完成這項工作。

其次，UEFI 惡意程式並非普遍威脅，一般組織較少遭遇。松尾指出，UEFI 威脅主要出現在國家級攻擊（Nation-State Attack）中。例如，政府在採購電腦時需檢查是否存在後門程式，此時偵測這類惡意程式就特別重要。

本文轉載自 DarkReading。