网络安全专家开发出 CPU 层面的勒索软件，可绕过传统检测手段

IT之家 5 月 14 日消息，网络安全公司 Rapid7 的高级威胁分析总监克里斯蒂安?比克（Chrstiaan Beek）开发了一种概念验证代码，展示了一种能够攻击 CPU 的勒索软件[IT江湖]，并警告称未来可能出现的类似攻击可能会绕过传统的勒索软件[IT江湖]检测手段。

比克在接受 The Register 采访中时透露，AMD Zen 芯片的一个漏洞启发了他。他指出，技术高超的攻击者理论上可以利用该漏洞“将未经授权的微代码加载到处理器中，从而在硬件层面破解加密并随意修改 CPU 行为”。

此前，谷歌安全团队曾发现 AMD Zen 1 至 Zen 4 CPU 存在一个安全漏洞，允许用户加载未经签名的微代码补丁。后来的研究表明，AMD Zen 5 CPU 也受到该漏洞的影响。幸运的是，该问题可以通过新的微代码修复。然而，比克看到了其中的机会，“我有固件安全的背景，当时就想，哇，我觉得我可以写一种 CPU 勒索软件[IT江湖]”，而他也确实这么做了。

据IT之家了解，比克编写了一种能够隐藏在 CPU 中的勒索软件[IT江湖]概念验证代码，不过他承诺不会将其发布。比克认为，这种类型的漏洞利用可能导致一种最糟糕的情况：“CPU 层面的勒索软件[IT江湖]、微代码篡改，而且如果你处于 CPU 或固件层面，你就能绕过我们现有的所有传统技术。”

他还提到了 2022 年泄露的 Conti 勒索软件[IT江湖]团伙的评论，在 RSAC 会议上他展示了该团伙的聊天记录。其中一条信息显示：“我正在做一个概念验证，勒索软件[IT江湖]安装在 UEFI 中，即使重新安装 Windows，加密仍然存在。”另一条则提到，通过修改 UEFI 固件，“我们可以在操作系统加载之前触发加密，没有任何杀毒软件[IT江湖]可以检测到。”还有一名黑客假设道：“想象一下，我们控制了 BIOS 并加载我们自己的引导程序，直到支付赎金才会解锁硬盘。”

比克警告称，如果恶意攻击者几年前就开始研究这些漏洞，“你可以肯定，其中一些人迟早会变得足够聪明，并开始制造这类攻击。”在采访的最后，比克表达了他对 2025 年仍在讨论勒索软件[IT江湖]的沮丧之情，并指出，所有相关方都应该共同努力，修复硬件安全的基础。他还批评了勒索软件[IT江湖]入侵事件背后常见的高风险漏洞、弱密码、缺乏认证等问题。