Mac平台新型蠕虫病毒曝光

两名研究人员开发出第一个可感染Mac的固件蠕虫病毒，并且可以在无需联网的情况下在MacBook间进行自动传播。

该病毒被称为“Thunderstrike 2”，是年初“Thunderstrike”病毒的变种（FreeBuf曾详细报道过）。它可以在固件层面感染Mac，并且难以根除。固件被感染后将不能进行修复或升级，这意味着人们几乎对它束手无策。

漏洞作者仍为LegbaCore公司创始人、安全专家 Trammell Hudso，他也是另一种BIOS恶意软件Xeno Kovah的创造者。Thunderstrike展示了蠕虫通过外设（Thunderbolt接口）物理接触及利用苹果EFI安全漏洞恶意传播的能力，而 Thunderstrike 2则拥有通过恶意网站或电邮即可传播的能力。

Thunderstrike 2可远程传播
尽管原型Thunderstrike要求攻击者物理访问用户Mac电脑才能进行破坏，而新的攻击则可以通过远程传播。

Thunderstrike 2通过连接Mac机器Thunderbolt（雷电）接口的外接设备（以太网适配器，外接SSD，RAID控制器等）进行传播。

一旦感染上此恶意软件，Mac会在ROM层级固件上感染。之后恶意软件便可以自动传入到任何插入该附件的Mac中。

视频演示

http://v.qq.com/iframe/player.html?vid=d01619enjax&tiny=0&auto=0

研究者在视频中展示了他们的攻击。

感染Mac于无形

恶意蠕虫Thunderstrike 2攻击和驻地都在固件中，因此可以逃避系统整体重启，这也是令Mac用户真正痛苦的地方。

Kovah告诉《连线》杂志，

“Thunderstrike 2真的很难发现，也很难清除，在固件中运行的东西是很难防范的。多余大多数用户而言，这就是个‘把你的Mac扔了去’的问题。很多用户和组织没有足够的能力打开他们的机器然后对芯片进行重新电子编程。”
研究者用于开发Thunderstrike 2的许多固件漏洞同样适用于EFI固件。这六个漏洞影响戴尔、惠普、联想、三星等电脑。在苹果完全修复了一个漏洞之后，还有五个漏洞对Mac固件存在影响。

本周，这两位研究者将在拉斯维加斯的黑帽和DEF Con安全大会上就成果进行展示，值得期待。

苹果公司回应

根据《卫报》的最新报道指出，苹果已经承诺会尽快修复在Mac中出现的这个漏洞。

随着 Thunderstrike 2 与日俱增地高调曝光，苹果已经注意到了这个漏洞，并承诺将会尽快进行修复。与此同时，苹果已经采取临时的措施来阻止漏洞被利用，其中包括废除使用这个漏洞的开发者证书，和任何使用该恶意软件进行升级的应用。