Представлен новый руткит-имплантат для BIOS
Новости Безопасность
На конференции CanSecWest, прошедшей в Ванкувере, исследователи Кори Калленберг (Corey Kallenberg) и Ксено Кова (Xeno Kovah), бывшие сотрудники MITRE и основатели стартапа LegbaCore, рассказали об исследовании новых уязвимостей BIOS и представили работающий руткит-имплантат для BIOS, сообщает «Лаборатория Касперского».
«Большинство BIOS имеют защиту от модифицирования, – рассказал Калленберг. – Мы нашли способ автоматизировать обнаружение уязвимостей в этой области и взламывать эту защиту».
Калленберг заявил, что злоумышленнику нужен удаленный доступ к скомпрометированному компьютеру, чтобы запустить имплантат и повысить свои привилегии на машине через аппаратуру. Их эксплойт выключает имеющиеся средства защиты, служащие для предотвращения перепрошивки микропрограммы, что позволяет установить и запустить имплантат.
Хитрая часть их эксплойта состоит в том, что они нашли способ вставлять свой агент в режим системного управления (System Management Mode, SMM), который используется микропрограммой и работает отдельно от операционной системы, управляя различными аппаратными интерфейсами. Режим системного управления также имеет доступ к памяти, что ставит предположительно защищенные операционные системы, такие как Tails, под угрозу со стороны имплантата.
Tails – операционная система, сфокусированная на приватности и анонимности, которая загружается со съемных носителей, таких как USB-флешки.
«Идея в том, что если ОС скомпрометирована имплантатом, вполне можно использовать Tails для связи (все интернет-подключения работают через браузер Tor), так как она защищена от вредоносного ПО, которое поразило основную операционную систему, – сказал Калленберг. – Имплантат ждет, пока загрузится Tails, выуживает важные данные из памяти, и отправляет наружу. Наш агент работает в фоне, Tails его не видит».
Их имплантат, словам исследователей, может извлекать закрытый PGP-ключ, который Tails использует для шифрованной связи. Он также способен красть пароли и перехватывать шифрованные сообщения. Имплантат переживает переустановку ОС и даже встроенную защиту Tails, несмотря на ее способность очищать оперативную память.
«Мы храним данные в энергонезависимой памяти, и они не стираются, – сказал Калленберг. – Идея состоит в том, что бы всем стало очевидно, что эти приемы с защищенной загрузкой с диска архитектурно уязвимы перед атаками, которые приходят с уровня BIOS».
Кова объяснил, что общий код имеется в вариантах BIOS разных производителей, и этот код делает возможным надежную установку имплантатов в устройствах различных марок и моделей.
«Открытый код эталонной реализации объясняет, как проходят данные, и в нем есть четко определенные места для передачи данных в BIOS, – сказал Кова. – Вы можете посмотреть в эталонный код для поиска паттернов и увидеть, что те же данные имеются в версиях с закрытым кодом. Эти общие точки определяют расположения для привязки».
Злоумышленник может внедрить код в эти расположения, отметил Кова, добавив, что до 100 моделей от пяти производителей содержат один и тот же код или его варианты.
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
Ищете, где скачать бесплатные программы?
Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
|
|
Программы для Windows
Программы для Linux
Приложения для Android
Приложения для iPhone