攻击向量（attack vector）指的是黑客用来攻击计算机或者网络服务器的一种手段，攻击向量能够帮助黑客寻找系统可能存在的任何漏洞，包括人为因素，攻击向量简单理解就是网络渗透攻击的各种维度，如通过病毒，电子邮件，网页，聊天室等配合社工欺骗方法来完成。

从泄露代码来看，Hacking Team有自己完善一套攻击向量，有许多维度，如Bios Rootkit攻击，ipa攻击，java applet挂马，假文档图标欺骗，短信欺骗，光盘或U盘存储介质攻击。技术与非技术完美配合，来实现RCS远程控制功能。

以下从Bios Rootkit攻击向量进行分析。

一、攻击场景

想像类似著名电影《碟中谍》的场景。XX黑客组织为了入侵A机构的网络系统，决定派遣一个卧底(wd)进入A机构。突破重重困难，最终wd以一名记者身份得以采访A机构领导，进入了领导的办公室，谈笑间，领导离开一会儿，wd立即警惕起来，盯紧领导的办公桌的电脑，连忙掏出U盘，开机，进入bios，种下Bios Rootkit后门病毒，熟练连贯的操作。三分钟的时间，神不知鬼不觉的，A机构网络系统已经被从内部打开了一个缺口，而且是一个检测极困难的后门……

场景像拍电影，有点夸张。实际上并不能排除可能性，Bios Rootkit通过物理的接触，如通过U盘，进行感染。 这样的场景可以延伸出来，或发生在电脑维修店、二手电脑、网吧、学校电脑室等。

Bios Rootkit是比较高水平的技术，检测很困难。在泄露的源码中，因此更多的人可以从这基础上衍生更多的Bios Rootkit病毒，降低了技术门槛。

二、Bios Rootkit感染方式

HT内部泄露文档介绍，Bios Rootkit是通过U盘，进入UEFI Shell进行感染。要求目标系统cup Intel i3/i5/i7(2,3,4代)，bios uefi。

Bios Rootkit的感染方式，决定传播广度有限，但从网络渗透来说，绝对是一个可靠的突破口。目前还没资料证明Bios Rootkit其它感染方式，但并不能排除可能性。

泄露的文档资料：

三、示意图

Bios Rootkit有三个模块：rkloader.mod，dropper.mod和ntfs.mod，攻击示意图如下：

在攻击时，插入U盘，进行UEFI Shell，Startup.nsh引导启动chipsec.efi，然后chipsec.efi把三个.mod模块写到Bios ROM上去，重启电脑时，Bios Rootkit就开始干活了。

四、Bios Rootkit分析

1、UEFI结构

UEFI使用了模块化设计，类似windows操作系统，UEFI Image(UEFI实体)有EFI Driver（驱动），EFI Application(应用程序)，os Loader(操作系统引导程序)，如下图。

EFI Driver和EFI Application是FFS结构，安装UDK（UEFI开发包），使用C语言，遵循接口，就可以开发EFI程序。

EFI程序开发必须要有.inf定义文件，定义应用名，guid，程序类型（应用或驱动），入口点，源码文件，依赖库等，其中GUID是模块的标识，bios系统是以GUID来标识程序。

<详细技术报告请点击最下方“阅读原文”>

五、防御与检测

防御：

1、开启UEFI SecureFlash；

2、及时更新BIOS修复安全漏洞；

3、设置BIOS/UEFI密码。