Руткиты смогут поражать BIOS на материнских платах

de1ay, 30.01.2006 - 16:07

Руткиты смогут поражать BIOS на материнских платах

Термин RootKit исторически пришёл из мира Unix, и под этим термином понимается набор утилит, которые хакер устанавливает на взломанном им компьютере после получения первоначального доступа. Этот набор как правило включает в себя разнообразные утилиты для заметания следов вторжения в систему, хакерский инструментарий (снифферы, сканеры) и троянские программы, замещающие основные Unix утилиты. RootKit позволяет хакеру закрепиться во взломанной системе и сокрыть следы своей деятельности. На текущий момент руткиты зачастую с легкостью обнаруживаются и удаляются при помощи антивирусных пакетов, однако в будущем, сообщают специалисты из SecurityFocus, все будет гораздо серьезнее.

Джон Хесман, сотрудник Next-Generation Security Software, утверждает, что набор функций для управления питанием, известный как Advanced Configuration and Power Interface (ACPI), содержит собственный интерпретируемый язык высокого уровня, который может использоваться для написания rootkit и хранения ключевых функций нападений в флеш памяти BIOS (Basic Input/Output System).

Джон проверил возможность поднятия привилегия и чтения данных физической памяти, используя специально написанные процедуры, которые заменяли легитимные фунции, хранящиеся во флеш памяти BIOS.

Ранее уже появлялись вирусы, способные изменять флеш память компьютера, однако способность использовать язык программирования высокого уровня, доступный для создания ACPI функций, позволяет значительно упростить написание злонамеренного кода.

Несмотря на потенциальную возможность появления подобных руткитов, в качестве защиты от поражения BIOS системы рекомендуется использовать джамперы, которые предотвращают запись данных во флеш память.

Источник:
http://www.securityfocus.com/news/11372

RODISLAV, 10.04.2011 - 21:19

Похоже это реальность.

RODISLAV, 24.04.2011 - 7:20

НИКТО НЕ ОБРАЩАЕТ ВНИМАНИЕ.
А ЗРЯ.
ЕСТЬ ЕЩЁ ЖАРЕНЫЕ ПЕТУХИ, КОТОРЫЕ КЛЮЮТ ИНОГДА.


Проверьте - у всех отключена запись в БИОС на мамке?
НЕТ - 100%. Значит вы в группе потенциальных жертв.

stand, 24.04.2011 - 7:29

Ну не знаю у кого как, а лично у меня всегда включена BIOS Protection(снимаю эту опцию только при перепрошивке), ну а если у кого-либо эта опция отключена, то как говориться большому кораблю - большую торпеду!

RODISLAV, 24.04.2011 - 9:41

С руткитами насколько я знаю, программная защита не катит. Их цель не уничтожить БИОС, а модифицировать. Зачем резать курицу несущую золотые яйца. Пускай комп работает себе и работает. Только неизвестно, что внутри происходит.

Не надо забывать, что БИОС шьётся из-под ВИНДЫ.
Подобное делает Руткит.Но видимо хитрее, тихушнее.

lubopit, 28.11.2011 - 18:58

У меня что-то произошло с компом, грешу на руткит. Постоянно отключается касперский, каждые пол часа, примерно. Чем только не проверял, ничего не обнаруживается. Переустановил винду с полным форматированием и не помогло. Постоянно крутится привод дискеты. Что делать?

Котенка, 28.11.2011 - 21:17

lubopit, А просто железо проверить? Отключить флоппик, проверить питание, после переустановки винды касперский продолжает отключаться? Как работают остальные программы? Хоть какие-то данные дайте.

lubopit, 29.11.2011 - 8:32

Флопик на данный момент я отключил, чтоб не гудел перед ухом.
Да, после чистой переустановки каспер продолжает отключаться. И на триале пробовал и с ключом (причина точно не в том, что ключ мог быть внесен в черный список, т.к. вполне легальный триал тоже отключается с выходом сообщения что базы повреждены). Пробовал обновлять базы по нескольку раз. Пробовал переустановить каспера и заново обновить, все тоже самое. Вчера поставил Dr Web, пока не выключался, будем наблюдать. А, еще, когда пытался установить оффис до переустановки выходило сообщение что какого то cab файла не хватает, до этого все нормально устанавливалось, сразу после переустановки тоже самое было, но вчера почему-то установилось. Дискетоприемник начинает гудеть когда на компьютер установлено програмное обеспечение 3G модема, а так не гудит, если удалить. Но проблемы с касперским и оффисом были уже до того как я установил 3G модемовский софт. Раньше комп так странно себя не вел, чую с компом твориться неладное.

Syrax, 29.11.2011 - 9:09

Если было полное форматирование HDD и новых зловредов туда на новую систему не занесли, то дело не в софте.

Вспоминайте что было до того как это стало происходить.

lubopit, 29.11.2011 - 10:02

в железе? железо я не трогал и не изменял, все как было так и есть и сейчас. Ничего не сгорело. Касперский продолжает отключаться. kis 2012/ если у кого то тоже отключается, то может быть дело в самом касперском, но точно дело не в железе.

Надеюсь у меня не это? Как заблокировать с помощью джампера, на всякий случай на будущее?
Но, пробема у меня еще не решена. Кто-нибудь отзовитесь у кого kis 2012 c нелегальными ключами и работает? А может быть проблема в ключах, я их качаю не с этого сайта, мне их присылают по почте за подписку.

middleman, 29.11.2011 - 10:05

Очень похоже на поведение одного старенького, но очень мерзкого червя. Года три назад долго с ним боролся. Червяк жил на нескольких компах в сети и при появлении новой свежеустановленной машины (естественно еще без антивируса, нормального фаервола и последних обнов) моментально пролазил на комп и незаметно там поселялся. Симптомы были примерно те-же - спонтанные отказы антивируса, блокирование действий антивирусных утилит (просто ничего не обнаруживали), живущие своей жизнью дисководы.
Победил полным пересозданием разделов и форматированием ВСЕХ дисков, установкой винды с отключенным сетевым кабелем и обновлением через сторонний интернет-канал не связанный с зараженной сеткой.
После установки обнов и нормальной защиты дыра позволяющая этой гадости пролезть на комп была залатана и симптомы после включения в сетку уже не проявлялись.

Также возможно проблема с самой сборкой винды. Там мог быть какой-то зловред, получающий команду на активацию со стороннего сервера. Пока сборка разошлась и люди ее распробовали он бездействовал, потом на сервере его включили и вот результат.
Если используется левая сборка - нужно попробовать установку с MSDN образа.

lubopit, 29.11.2011 - 10:29

Я тоже создавал заново раздел и форматировал и у меня в сетке разве что роутер dir-320 с флешкой в юсб порту, openbox и все в линуксе. Операционка виндовс 7.

Где скачать его?
А может они могут записаться и на dvd-r диск? Тогда от них будет просто невозможно избавиться. Если только найти антивирь который будет устойчив к блокированию.

middleman, 29.11.2011 - 10:52

Флешку на время установки в сад, роутер отключить от WAN. Подключать после установки на комп фаера и антивируса.


Например здесь:


Может, поэтому диск писать с финализацией на незераженной машине (вариант - поставить линукс и записать там ).

GSI1, 29.11.2011 - 10:53

Использую КИС2012...ключи ДАЙ БОГ ЗДОРОВЬЕ РЕБЯТАМ С СОФТОРУМА!!!! только здесь беру. Работает без проблем...может немного не в тему...у меня касперыч выбивал что базы повреждены, когда манипуляция со временем на компе происходила...чаще всего, если базы обновлены, а после этого время перевести назад...
З.ы. а как отключить, вернее включить защиту БИОС? я заходил в биос, и такой опции как протект флеш биос...или похожее не находил...ASRock P45DE спасибо.

middleman, 29.11.2011 - 10:54

Не на всех материнах есть такая защита.

GSI1, 29.11.2011 - 11:46

...это не может не радовать...

RODISLAV, 13.12.2011 - 22:28

Хакеров точно...

HugoBo-SS, 31.07.2012 - 17:23

Французский эксперт по компьютерной безопасности Джонатан Броссар (Jonathan Brossard), основатель и главный инженер компании Toucan System, наглядно продемонстрировал возможность модифицировать базовую прошивку материнской платы, сетевых карт и CD/DVD-приводов. Его утилита под названием Rakshasa отличается от более ранних попыток подменить и модифицировать BIOS своей способностью «поселяться» в системе навсегда и избегать обнаружения стандартными средствами.По материалу ComputerWorld

Урсу, 22.03.2015 - 15:46

Когда среди множества откровений Сноудена был раскрыт каталог средств наблюдения подразделения ANT Агентства национальной безопасности США, его планы по внедрению зловредов в BIOS целевых машин стали бесспорны.
Хотя доказательств существования в природе BIOS-буткитов маловато, каталог ANT и недавнее раскрытие кибершпионской платформы группы Equation, в особенности модуля NSL_933W.DLL, который перепрошивает микропрограммы жестких дисков от крупнейших производителей, не оставляет сомнений касательно того, что атаки против «железа» уходят из академической плоскости в реальную жизнь.
На конференции CanSecWest, прошедшей в Ванкувере, исследователи Кори Калленберг (Corey Kallenberg) и Ксено Кова (Xeno Kovah), бывшие сотрудники MITRE и основатели стартапа LegbaCore, рассказали об исследовании новых уязвимостей BIOS и представили работающий руткит-имплантат для BIOS.
«Большинство BIOS имеют защиту от модифицирования, – рассказал Калленберг Threatpost. – Мы нашли способ автоматизировать обнаружение уязвимостей в этой области и взламывать эту защиту».
Калленберг заявил, что злоумышленнику нужен удаленный доступ к скомпрометированному компьютеру, чтобы запустить имплантат и повысить свои привилегии на машине через аппаратуру. Их эксплойт выключает имеющиеся средства защиты, служащие для предотвращения перепрошивки микропрограммы, что позволяет установить и запустить имплантат.
Хитрая часть их эксплойта состоит в том, что они нашли способ вставлять свой агент в режим системного управления (System Management Mode, SMM), который используется микропрограммой и работает отдельно от операционной системы, управляя различными аппаратными интерфейсами. Режим системного управления также имеет доступ к памяти, что ставит предположительно защищенные операционные системы, такие как Tails, под угрозу со стороны имплантата.
Tails – операционная система, сфокусированная на приватности и анонимности, которая загружается со съемных носителей, таких как USB-флешки.
«Идея в том, что если ОС скомпрометирована имплантатом, вполне можно использовать Tails для связи (все интернет-подключения работают через браузер Tor), так как она защищена от вредоносного ПО, которое поразило основную операционную систему, – сказал Калленберг. – Имплантат ждет, пока загрузится Tails, выуживает важные данные из памяти, и отправляет наружу. Наш агент работает в фоне, Tails его не видит».
Их имплантат, словам исследователей, может извлекать закрытый PGP-ключ, который Tail использует для шифрованной связи. Он также способен красть пароли и перехватывать шифрованные сообщения. Имплантат переживает переустановку ОС и даже встроенную защиту Tail, несмотря на ее способность очищать оперативную память.
«Мы храним данные в энергонезависимой памяти, и они не стираются, – сказал Калленберг. – Идея состоит в том, что бы всем стало очевидно, что эти приемы с защищенной загрузкой с диска архитектурно уязвимы перед атаками, которые приходят с уровня BIOS».
Кова заявил, что архитектурные изменения в последователе BIOS UEFI привнесли модульность, служащую для упрощения разработки. Но эта модульность, прописанная в открытом коде эталонной реализации UEFI, оставляет место эксплойтам. Прочем многие производители основывают свой код на эталонном.
Кова объяснил, что общий код имеется в вариантах BIOS разных производителей, и этот код делает возможным надежную установку имплантатов в устройствах различных марок и моделей.
«Открытый код эталонной реализации объясняет, как проходят данные, и в нем есть четко определенные места для передачи данных в BIOS, – сказал Кова. – Вы можете посмотреть в эталонный код для поиска паттернов и увидеть, что те же данные имеются в версиях с закрытым кодом. Эти общие точки определяют расположения для привязки».
Злоумышленник может внедрить код в эти расположения, как сказал Кова, и добавил, что до 100 моделей от пяти производителей содержат один и тот же код или его варианты.
«Благодаря этому вы можете надежно автоматизировать строковый поиск для привязки, разместить хуки, и вставить код», – сказал Кова.
По словам Ковы, хакер, преступник, или на государственной службе, также может заразить BIOS, получив физический доступ к компьютеру, например, при пересечении границы. В демонстрационном видео, предоставленном Threatpost, Кова, используя флеш-программатор DediProg, смог физически подключить соединительный кабель к BIOS и загрузить таким способом имплантат.
«Это можно применить при пересечении границы, атакой Evil Maid, или другими атаками с физическим вмешательством, – заявил он. – Если у вас есть доступ, это займет примерно две минуты после того, как вы найдете BIOS. Идея состоит в том, чтобы дать все это необученному человеку, дать ему цель, открыть компьютер, подключить и нажать старт. Перепрошивка чипа занимает около 50 секунд».
«Дело в том, что даже если вы думаете, что у вас хорошая защита, благодаря использованию Tails или отсутствию жесткого диска, это ничего не значит, – говорит Кова. – Две минуты физического доступа, и вы можете взломать любую ОС».
Ситуация не вполне мрачная. Исследователи отмечают, что производители проводят серьезную работу, закрывая уязвимости, о которых им сообщают, но им нужно улучшать практики безопасного программирования и вложить больше усилий в отражение эксплойтов.
«С течением времени и ростом стоимости эксплуатации из-за того, что баги постоянно устраняются и новые техники затрудняют эксплуатацию, атаки на BIOS становятся все более привлекательными из-за своей устойчивости в системе», – заявил Калленберг.
Источник: threatpost.ru