保护您的计算机免受 Thunderspy 攻击的提示

ThunderboltIntel开发的硬件品牌接口。它充当计算机和外部设备之间的接口。虽然大多数Windows计算机都带有各种端口,但许多公司使用Thunderbolt连接到各种类型的设备。它使连接变得容易,但根据埃因霍温(Eindhoven University)科技(Technology)大学的研究, Thunderbolt背后的安全性可以使用一种技术——Thunderspy 来破坏(Thunderspy)。在这篇文章中,我们将分享您可以遵循的提示,以保护您的计算机免受Thunderspy攻击。

什么是Tunderspy?它是如何工作的?

它是一种隐形攻击,允许攻击者访问直接内存访问 ( DMA ) 功能来破坏设备。最大的问题是没有任何痕迹,因为它在没有部署任何恶意软件或链接诱饵的情况下工作。它可以绕过最佳安全实践并锁定计算机。那么它是怎样工作的?攻击者需要直接访问计算机。根据研究,使用正确的工具只需不到 5 分钟。

防范 Thunderspy 的提示

攻击者将源设备的Thunderbolt 控制器固件(Thunderbolt Controller Firmware)复制到他的设备。然后,它使用固件修补程序 ( TCFP ) 禁用Thunderbolt固件中强制执行的安全模式。使用Bus Pirate(Bus Pirate)设备将修改后的版本复制回目标计算机。然后基于Thunderbolt的攻击设备连接到被攻击的设备。然后,它使用PCILeech工具加载绕过Windows登录屏幕的内核模块。

因此,即使计算机具有安全启动(Secure Boot)、强大的BIOS和操作系统帐户密码等安全功能,并启用了全盘加密,它仍然会绕过一切。

提示(TIP):Spycheck 将检查您的 PC 是否容易受到 Thunderspy 攻击。

防范 Thunderspy 的提示

Microsoft推荐(recommends)了三种方法来防御现代威胁。可以利用 Windows 中内置的一些功能,而应该启用一些功能来缓解攻击。

  • 安全核心 PC 保护
  • 内核 DMA 保护
  • 受管理程序保护的代码完整性 ( HVCI )

也就是说,这一切都可以在 Secured-core PC 上实现。您根本无法在普通 PC 上应用此功能,因为没有可用的硬件来保护它免受攻击。确定您的 PC 是否支持它的最佳方法是检查Windows 安全(Windows Security)应用程序的设备安全(Devic Security)部分。

1] 安全核心 PC 保护

Windows Defender 系统防护

Windows Security是 Microsoft 的内部安全软件,提供Windows Defender System Guard和基于虚拟化的安全性。但是,您需要一台使用Secured-core PC(Secured-core PCs)的设备。它使用现代CPU中的根深蒂固的硬件安全性将系统启动到受信任状态。它有助于减轻恶意软件在固件级别的尝试。

2]内核DMA保护

Windows 10 v1803中引入的内核 DMA(Kernel DMA)保护可确保阻止外部外围设备使用PCI热插拔设备(如Thunderbolt )进行直接(Thunderbolt)内存访问(Memory Access)( DMA ) 攻击。这意味着如果有人试图将恶意的Thunderbolt固件复制到机器上,它将通过Thunderbolt端口被阻止。但是,如果用户有用户名和密码,他将能够绕过它。

3]使用Hypervisor 保护的(Hypervisor-protected)代码完整性 ( HVCI )强化保护(Hardening)

关闭内存完整性核心隔离 Windows 安全

应在Windows 10上启用受 Hypervisor 保护的代码完整性或HVCI。它隔离代码完整性子系统并验证内核(Kernel)代码没有经过Microsoft验证和签名。它还确保内核代码不能既可写又可执行,以确保未验证的代码不会执行。

Thunderspy使用PCILeech工具加载绕过Windows登录屏幕的内核模块。使用HVCI将确保防止这种情况发生,因为它不允许它执行代码。

在购买计算机时,安全性应始终放在首位。如果您处理重要的数据,尤其是业务数据,建议购买Secured-core PC设备。这是微软网站上此类设备的官方页面。(such devices)



About the author

我是一名免费软件开发人员和 Windows Vista/7 倡导者。我已经写了数百篇关于操作系统相关主题的文章,包括提示和技巧、修复指南和最佳实践。我还通过我的公司 Help Desk Services 提供与办公室相关的咨询服务。我对 Office 365 的工作原理、功能以及如何最有效地使用它们有着深刻的理解。



Related posts