McAfee更新韧体扫描框架CHIPSEC以对抗CIA攻击

McAfee

维基解密（WikiLeaks）在上周公布了名为Vault 7的一系列来自美国中央情报局（CIA）的机密文件，它是由超过8000份的资料及档案组成，内含各种恶意程式、病毒、木马、漏洞攻击程式等资讯，一揭CIA的网路攻击火力，而McAfee随之更新了CHIPSEC韧体扫描框架，可用来侦测可延伸韧体介面（Extensible Firmware Interface，EFI）中藏匿的rootkit，确保EFI的完整性。

在Vault 7中有两个专案透露出CIA正在开发两款锁定苹果系统的EFI rootkit，EFI为作业系统与韧体间的介面，在该介面中被植入的恶意程式即为rootkit，可在每次开机时执行。

CHIPSEC则是McAfee所开发的平台安全评估框架，能分析包括硬体、平台韧体与平台元件等PC平台的安全性，它含有一个安全测试套件，以及许多可存取低阶介面的工具，亦具备鉴识能力，支援Windows、Linux、macOS与UEFI介壳程式，可透过GitHub取得。

McAfee表示，他们已替CHIPSEC开发一个简单的模组，能够用来验证EFI韧体的完整性。此一新模组允许使用者自製造商取得乾净的EFI影像，萃取其内容并建立白名单，再与系统上的EFI进行比对，一旦出现异状，就可能是现有的韧体已受到感染。McAfee建议使用者应该在购买系统之后或是确定未受到感染时便建立白名单。

英特尔于2010年8月以76.8亿美元买下McAfee之后，曾一度将它更名为Intel Security，但英特尔在去年9月独立了Intel Security并把51%的股权出售给资产管理公司TGP，TGP在取得主导权后再将Intel Security的名称改回了McAfee。