Руткиты смогут поражать BIOS на материнских платах
,
Безопасность в сети
Дата публикации:
de1ay, 30.01.2006 - 16:07
Руткиты смогут поражать BIOS на материнских платах
Термин RootKit исторически пришёл из мира Unix, и под этим термином понимается набор утилит, которые хакер устанавливает на взломанном им компьютере после получения первоначального доступа. Этот набор как правило включает в себя разнообразные утилиты для заметания следов вторжения в систему, хакерский инструментарий (снифферы, сканеры) и троянские программы, замещающие основные Unix утилиты. RootKit позволяет хакеру закрепиться во взломанной системе и сокрыть следы своей деятельности. На текущий момент руткиты зачастую с легкостью обнаруживаются и удаляются при помощи антивирусных пакетов, однако в будущем, сообщают специалисты из SecurityFocus, все будет гораздо серьезнее.
Джон Хесман, сотрудник Next-Generation Security Software, утверждает, что набор функций для управления питанием, известный как Advanced Configuration and Power Interface (ACPI), содержит собственный интерпретируемый язык высокого уровня, который может использоваться для написания rootkit и хранения ключевых функций нападений в флеш памяти BIOS (Basic Input/Output System).
Джон проверил возможность поднятия привилегия и чтения данных физической памяти, используя специально написанные процедуры, которые заменяли легитимные фунции, хранящиеся во флеш памяти BIOS.
Ранее уже появлялись вирусы, способные изменять флеш память компьютера, однако способность использовать язык программирования высокого уровня, доступный для создания ACPI функций, позволяет значительно упростить написание злонамеренного кода.
Несмотря на потенциальную возможность появления подобных руткитов, в качестве защиты от поражения BIOS системы рекомендуется использовать джамперы, которые предотвращают запись данных во флеш память.
НИКТО НЕ ОБРАЩАЕТ ВНИМАНИЕ. А ЗРЯ. ЕСТЬ ЕЩЁ ЖАРЕНЫЕ ПЕТУХИ, КОТОРЫЕ КЛЮЮТ ИНОГДА.
Проверьте - у всех отключена запись в БИОС на мамке? НЕТ - 100%. Значит вы в группе потенциальных жертв.
stand, 24.04.2011 - 7:29
Ну не знаю у кого как, а лично у меня всегда включена BIOS Protection(снимаю эту опцию только при перепрошивке), ну а если у кого-либо эта опция отключена, то как говориться большому кораблю - большую торпеду!
RODISLAV, 24.04.2011 - 9:41
С руткитами насколько я знаю, программная защита не катит. Их цель не уничтожить БИОС, а модифицировать. Зачем резать курицу несущую золотые яйца. Пускай комп работает себе и работает. Только неизвестно, что внутри происходит.
Не надо забывать, что БИОС шьётся из-под ВИНДЫ. Подобное делает Руткит.Но видимо хитрее, тихушнее.
lubopit, 28.11.2011 - 18:58
У меня что-то произошло с компом, грешу на руткит. Постоянно отключается касперский, каждые пол часа, примерно. Чем только не проверял, ничего не обнаруживается. Переустановил винду с полным форматированием и не помогло. Постоянно крутится привод дискеты. Что делать?
Котенка, 28.11.2011 - 21:17
lubopit, А просто железо проверить? Отключить флоппик, проверить питание, после переустановки винды касперский продолжает отключаться? Как работают остальные программы? Хоть какие-то данные дайте.
lubopit, 29.11.2011 - 8:32
Флопик на данный момент я отключил, чтоб не гудел перед ухом. Да, после чистой переустановки каспер продолжает отключаться. И на триале пробовал и с ключом (причина точно не в том, что ключ мог быть внесен в черный список, т.к. вполне легальный триал тоже отключается с выходом сообщения что базы повреждены). Пробовал обновлять базы по нескольку раз. Пробовал переустановить каспера и заново обновить, все тоже самое. Вчера поставил Dr Web, пока не выключался, будем наблюдать. А, еще, когда пытался установить оффис до переустановки выходило сообщение что какого то cab файла не хватает, до этого все нормально устанавливалось, сразу после переустановки тоже самое было, но вчера почему-то установилось. Дискетоприемник начинает гудеть когда на компьютер установлено програмное обеспечение 3G модема, а так не гудит, если удалить. Но проблемы с касперским и оффисом были уже до того как я установил 3G модемовский софт. Раньше комп так странно себя не вел, чую с компом твориться неладное.
Syrax, 29.11.2011 - 9:09
Если было полное форматирование HDD и новых зловредов туда на новую систему не занесли, то дело не в софте.
Вспоминайте что было до того как это стало происходить.
lubopit, 29.11.2011 - 10:02
в железе? железо я не трогал и не изменял, все как было так и есть и сейчас. Ничего не сгорело. Касперский продолжает отключаться. kis 2012/ если у кого то тоже отключается, то может быть дело в самом касперском, но точно дело не в железе.
Цитата | Quote
Ранее уже появлялись вирусы, способные изменять флеш память компьютера
Надеюсь у меня не это? Как заблокировать с помощью джампера, на всякий случай на будущее? Но, пробема у меня еще не решена. Кто-нибудь отзовитесь у кого kis 2012 c нелегальными ключами и работает? А может быть проблема в ключах, я их качаю не с этого сайта, мне их присылают по почте за подписку.
middleman, 29.11.2011 - 10:05
Цитата | Quote
У меня что-то произошло с компом, грешу на руткит. Постоянно отключается касперский, каждые пол часа, примерно. Чем только не проверял, ничего не обнаруживается. Переустановил винду с полным форматированием и не помогло. Постоянно крутится привод дискеты. Что делать?
Очень похоже на поведение одного старенького, но очень мерзкого червя. Года три назад долго с ним боролся. Червяк жил на нескольких компах в сети и при появлении новой свежеустановленной машины (естественно еще без антивируса, нормального фаервола и последних обнов) моментально пролазил на комп и незаметно там поселялся. Симптомы были примерно те-же - спонтанные отказы антивируса, блокирование действий антивирусных утилит (просто ничего не обнаруживали), живущие своей жизнью дисководы. Победил полным пересозданием разделов и форматированием ВСЕХ дисков, установкой винды с отключенным сетевым кабелем и обновлением через сторонний интернет-канал не связанный с зараженной сеткой. После установки обнов и нормальной защиты дыра позволяющая этой гадости пролезть на комп была залатана и симптомы после включения в сетку уже не проявлялись.
Также возможно проблема с самой сборкой винды. Там мог быть какой-то зловред, получающий команду на активацию со стороннего сервера. Пока сборка разошлась и люди ее распробовали он бездействовал, потом на сервере его включили и вот результат. Если используется левая сборка - нужно попробовать установку с MSDN образа.
lubopit, 29.11.2011 - 10:29
Я тоже создавал заново раздел и форматировал и у меня в сетке разве что роутер dir-320 с флешкой в юсб порту, openbox и все в линуксе. Операционка виндовс 7.
Цитата | Quote
MSDN образа
Где скачать его? А может они могут записаться и на dvd-r диск? Тогда от них будет просто невозможно избавиться. Если только найти антивирь который будет устойчив к блокированию.
middleman, 29.11.2011 - 10:52
Цитата | Quote
dir-320 с флешкой в юсб порту
Флешку на время установки в сад, роутер отключить от WAN. Подключать после установки на комп фаера и антивируса.
Может, поэтому диск писать с финализацией на незераженной машине (вариант - поставить линукс и записать там ).
GSI1, 29.11.2011 - 10:53
Использую КИС2012...ключи ДАЙ БОГ ЗДОРОВЬЕ РЕБЯТАМ С СОФТОРУМА!!!! только здесь беру. Работает без проблем...может немного не в тему...у меня касперыч выбивал что базы повреждены, когда манипуляция со временем на компе происходила...чаще всего, если базы обновлены, а после этого время перевести назад... З.ы. а как отключить, вернее включить защиту БИОС? я заходил в биос, и такой опции как протект флеш биос...или похожее не находил...ASRock P45DE спасибо.
middleman, 29.11.2011 - 10:54
Цитата | Quote
а как отключить, вернее включить защиту БИОС?
Не на всех материнах есть такая защита.
GSI1, 29.11.2011 - 11:46
Цитата | Quote
Не на всех материнах есть такая защита.
...это не может не радовать...
RODISLAV, 13.12.2011 - 22:28
Хакеров точно...
HugoBo-SS, 31.07.2012 - 17:23
Хакеры смогли незаметно подменить BIOS вирусом
Французский эксперт по компьютерной безопасности Джонатан Броссар (Jonathan Brossard), основатель и главный инженер компании Toucan System, наглядно продемонстрировал возможность модифицировать базовую прошивку материнской платы, сетевых карт и CD/DVD-приводов. Его утилита под названием Rakshasa отличается от более ранних попыток подменить и модифицировать BIOS своей способностью «поселяться» в системе навсегда и избегать обнаружения стандартными средствами.
» Нажмите, для открытия спойлера | Press to open the spoiler «
Подмена базовой системы ввода/вывода (BIOS — Basic Input Output System) в компьютерах давно интересует специалистов, как способ скомпрометировать операционную систему на стадии первичной загрузки, не оставляя следов на жестком диске. Утилита Rakshasa, названная в честь демона индуистской мифологии, способна эффективно выполнять эту операцию. Она была продемонстрирована сразу на двух важнейших конференциях по безопасности этого года – Black Hat и Defcon.
Строго говоря, утилита Rakshasa является не первой программой, которая способна на низком уровне вмешаться в инициализацию всех важнейших аппаратных компонентов системы. Тем не менее, новые находки разработчиков позволяют обеспечить долговременное существование Rackshasa в системе и избегать обнаружения. Кроме того, она может заражать прошивку компонентов, подключаемых к материнской плате по интерфейсу PCI, включая сетевые адаптеры и оптические приводы – это обеспечивает дополнительное резервирование при попытках уничтожить вредоносный код.
Примечательно, что технология Rakshasa построена с использованием общедоступных инструментов с открытым исходным кодом. Она заменяет BIOS, встроенный производителем, комбинацией альтернативных модулей Coreboot и SeaBIOS, которые работают на материнских платах разных производителей. Кроме того, поддерживается запись открытого сетевого загрузчика под названием iPXE в память сетевого адаптера.
Конечно, открытые компоненты были изменены, чтобы не отображать никакой информации, способной выдать их присутствие в ходе загрузки. Стоит заметить, что технология Coreboot даже поддерживает вывод собственной заставки, повторяющей диалоги подмененных прошивок BIOS.
По словам Броссара, нынешняя архитектура компьютеров дает каждому периферийному устройству равный доступ к оперативной памяти. В результате привод CD-ROM теоретически может управлять сетевой картой. Это значит, что если кто-то решит восстановить исходный BIOS, подложная прошивка, расположенная в памяти сетевого адаптера или привода CD-ROM, может использоваться, чтобы вновь подменить восстанавливаемый BIOS.
Единственный способ полностью уничтожить такое заражение, это выключить компьютер и вручную прошить каждый компонент в отдельности. Подобный метод практически неприменим для рядовых пользователей, поскольку требует специального оборудования и высокой квалификации операторам. Сам Броссар объясняет, что создал технологию Rakshasa для проверки своих догадок о возможности практического взлома BIOS где-нибудь на пути компьютера с завода на полки магазинов, пока ПК не доставлен конечному пользователю. В этом моменте автор указывает, что поставка большинства компьютеров и компонентов, включая машины Mac, которые считались устойчивыми ко взломам, производится из Китая.
Интересно, что удаленное развертывание подложных прошивок Rackshasa вряд ли возможно, поскольку на PCI-устройствах обычно нужно вручную устанавливать или снимать определенные переключатели (джамперы) для перепрошивки, а многие современные чипы BIOS требуют цифровую подпись для установки новых прошивок. Тем не менее, утилита Coreboot, например, поддерживает специальный режим прошивки PCI-устройства, когда новая прошивка записывается с более высоким приоритетом, чем исходная – это позволяет обойти проблему ручного переключения. По словам Броссара, атака срабатывает во всех случаях, когда есть физический доступ к системе. При удаленном доступе срабатывание происходит в 99% случаев, по оценке автора.
Отдельного внимания заслуживают манипуляции с механизмом сетевой загрузки iPXE. В этом случае сетевая карта заставляет компьютер выполнять специальный код до загрузки операционной системы и каких-либо систем безопасности. Отказ от использования загрузочного MBR-сектора для хранения тела вируса позволяет избежать обнаружения – вредоносный загрузочный код передается во время загрузки с удаленного сервера, не оставляя никаких следов в файловой системе. Кроме всего прочего, после загрузки вредоносного кода в ядро сам загрузчик можно стереть из оперативной памяти, так что оперативный анализ памяти тоже не даст результатов. Перспективы у технологии Rackshasa просто пугающие – зараженный ПК может скачивать модифицированный загрузочный модуль в виде безобидного PDF-файла из какого-нибудь блога, а зараженная сетевая карта может отправлять IP-адрес и другие сведения о сети на указанный адрес электронной почты, поскольку механизм поддерживает работу по каналам Ethernet, Wi-Fi и Wimax с поддержкой протоколов HTTP, HTTPS и FTP.
Кроме всего прочего, есть теоретическая возможность передачи обновленных вредоносных прошивок по защищенному HTTPS-соединению напрямую в прошивку сетевого адаптера, а также периодическая замена координат управляющего сервера, откуда зараженная машина будет принимать команды. Обнаружить и нейтрализовать такую угрозу будет очень и очень непросто, так что Броссар пока не обнародовал код Rakshasa. С другой стороны, все компоненты этой технологии общедоступны, так что любой злоумышленник с должной квалификацией и ресурсами вполне может воспроизвести решение собственными силами. Подробнее принципы действия вновь обнаруженной угрозы в связи с возможной компрометацией BIOS освещены в статье Броссара
»» Нажмите, для закрытия спойлера | Press to close the spoiler ««
По материалу ComputerWorld
Урсу, 22.03.2015 - 15:46
Новый BIOS-имплантат и инструмент обнаружения уязвимостей дебютировали на CanSecWest
Когда среди множества откровений Сноудена был раскрыт каталог средств наблюдения подразделения ANT Агентства национальной безопасности США, его планы по внедрению зловредов в BIOS целевых машин стали бесспорны. Хотя доказательств существования в природе BIOS-буткитов маловато, каталог ANT и недавнее раскрытие кибершпионской платформы группы Equation, в особенности модуля NSL_933W.DLL, который перепрошивает микропрограммы жестких дисков от крупнейших производителей, не оставляет сомнений касательно того, что атаки против «железа» уходят из академической плоскости в реальную жизнь. На конференции CanSecWest, прошедшей в Ванкувере, исследователи Кори Калленберг (Corey Kallenberg) и Ксено Кова (Xeno Kovah), бывшие сотрудники MITRE и основатели стартапа LegbaCore, рассказали об исследовании новых уязвимостей BIOS и представили работающий руткит-имплантат для BIOS. «Большинство BIOS имеют защиту от модифицирования, – рассказал Калленберг Threatpost. – Мы нашли способ автоматизировать обнаружение уязвимостей в этой области и взламывать эту защиту». Калленберг заявил, что злоумышленнику нужен удаленный доступ к скомпрометированному компьютеру, чтобы запустить имплантат и повысить свои привилегии на машине через аппаратуру. Их эксплойт выключает имеющиеся средства защиты, служащие для предотвращения перепрошивки микропрограммы, что позволяет установить и запустить имплантат. Хитрая часть их эксплойта состоит в том, что они нашли способ вставлять свой агент в режим системного управления (System Management Mode, SMM), который используется микропрограммой и работает отдельно от операционной системы, управляя различными аппаратными интерфейсами. Режим системного управления также имеет доступ к памяти, что ставит предположительно защищенные операционные системы, такие как Tails, под угрозу со стороны имплантата. Tails – операционная система, сфокусированная на приватности и анонимности, которая загружается со съемных носителей, таких как USB-флешки. «Идея в том, что если ОС скомпрометирована имплантатом, вполне можно использовать Tails для связи (все интернет-подключения работают через браузер Tor), так как она защищена от вредоносного ПО, которое поразило основную операционную систему, – сказал Калленберг. – Имплантат ждет, пока загрузится Tails, выуживает важные данные из памяти, и отправляет наружу. Наш агент работает в фоне, Tails его не видит». Их имплантат, словам исследователей, может извлекать закрытый PGP-ключ, который Tail использует для шифрованной связи. Он также способен красть пароли и перехватывать шифрованные сообщения. Имплантат переживает переустановку ОС и даже встроенную защиту Tail, несмотря на ее способность очищать оперативную память. «Мы храним данные в энергонезависимой памяти, и они не стираются, – сказал Калленберг. – Идея состоит в том, что бы всем стало очевидно, что эти приемы с защищенной загрузкой с диска архитектурно уязвимы перед атаками, которые приходят с уровня BIOS». Кова заявил, что архитектурные изменения в последователе BIOS UEFI привнесли модульность, служащую для упрощения разработки. Но эта модульность, прописанная в открытом коде эталонной реализации UEFI, оставляет место эксплойтам. Прочем многие производители основывают свой код на эталонном. Кова объяснил, что общий код имеется в вариантах BIOS разных производителей, и этот код делает возможным надежную установку имплантатов в устройствах различных марок и моделей. «Открытый код эталонной реализации объясняет, как проходят данные, и в нем есть четко определенные места для передачи данных в BIOS, – сказал Кова. – Вы можете посмотреть в эталонный код для поиска паттернов и увидеть, что те же данные имеются в версиях с закрытым кодом. Эти общие точки определяют расположения для привязки». Злоумышленник может внедрить код в эти расположения, как сказал Кова, и добавил, что до 100 моделей от пяти производителей содержат один и тот же код или его варианты. «Благодаря этому вы можете надежно автоматизировать строковый поиск для привязки, разместить хуки, и вставить код», – сказал Кова. По словам Ковы, хакер, преступник, или на государственной службе, также может заразить BIOS, получив физический доступ к компьютеру, например, при пересечении границы. В демонстрационном видео, предоставленном Threatpost, Кова, используя флеш-программатор DediProg, смог физически подключить соединительный кабель к BIOS и загрузить таким способом имплантат. «Это можно применить при пересечении границы, атакой Evil Maid, или другими атаками с физическим вмешательством, – заявил он. – Если у вас есть доступ, это займет примерно две минуты после того, как вы найдете BIOS. Идея состоит в том, чтобы дать все это необученному человеку, дать ему цель, открыть компьютер, подключить и нажать старт. Перепрошивка чипа занимает около 50 секунд». «Дело в том, что даже если вы думаете, что у вас хорошая защита, благодаря использованию Tails или отсутствию жесткого диска, это ничего не значит, – говорит Кова. – Две минуты физического доступа, и вы можете взломать любую ОС». Ситуация не вполне мрачная. Исследователи отмечают, что производители проводят серьезную работу, закрывая уязвимости, о которых им сообщают, но им нужно улучшать практики безопасного программирования и вложить больше усилий в отражение эксплойтов. «С течением времени и ростом стоимости эксплуатации из-за того, что баги постоянно устраняются и новые техники затрудняют эксплуатацию, атаки на BIOS становятся все более привлекательными из-за своей устойчивости в системе», – заявил Калленберг. Источник: threatpost.ru