Экспериментальный бэкдор Rakshasa способен выступать в роли BIOS

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 30 июл 2012.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Генеральный директор французской ИБ-компании Toucan System Джонатан Броссар говорит о создании концептуального аппаратного бэкдора Rakshasa, способного подменить собой BIOS компьютера и скомпрометировать операционную систему во время ее загрузки без каких-либо следов на жестком диске компьютера. Броссар продемонстрировал новый код в минувший уик-энд на конференции Defcon в США. Ранее упрощенная версия данного кода была представлена в рамках закрытой презентации на конференции Black Hat.

    Отметим, что Rakshasa - это не первый образец вредоносного программного обеспечения, атакующего BIOS компьютера на уровне системной прошивки материнской платы. Однако в отличие от ранее созданных вредоносов, новинка использует ряд новых трюков, затрудняющих ее детектирование и удаление. Rakshasa заменяет собой BIOS на материнской плате и фактически берет на себя системную инициализацию аппаратных компонентов компьютера. Вдобавок к этому, Rakshasa способен заражать прошивку PCI или другие периферийные устройства (при наличии поддерживаемого формата прошивки), чтобы достичь избыточного уровня работоспособности.

    Базируется Rakshasa на открытом программном обеспечении и заменяет родную версию BIOS компьютера экзотической комбинацией открытых реализаций BIOS Coreboot и SeaBIOS, что позволяет ему работать на различных материнских платах от разных производителей, он также переписывает компоненты iPXE, ответственные за сетевую загрузку компьютера или сервера (располагается в некоторых моделях сетевых карт).

    Броссар говорит, что при модификации любой из этих прошивок любые антивирусы, работающие на уровне операционной системы, ничего не заподозрят и вредоносный код избежит обнаружения, при этом, сам вредоносный код без проблем сможет перехватывать данные, слушать целевой трафик и проводить другие операции. За счет использования кодов Coreboot авторы кода даже могут создать модифицированный приветственный экран, чтобы пользователь также ничего не заподозрил при включении компьютера.

    "При модификации всех этих компонентов современные компьютеры не выдают никаких предупреждений или оповещений со стороны системы, что позволяет Rakshasa совершенно незаметно проникать в систему и подменять почти любые прошивки компонентов. Большинство современных системных прошивок созданы по единому подходу, что позволяет нам писать стандартизированный компонент для всех узлов", - говорит Броссар.

    По его словам, многие современные материнские платы имеют два блока хранения BIOS и иных управляющих систем. Rakshasa может заразить один, тогда как во втором сохранится оригинальная версия. Технически, пользователь должен быть довольно продвинутым, чтобы восстановить оригинальный BIOS, поэтому для большинства пользователей заражение Rakshasa фактически означает безвозвратную потерю BIOS.

    Броссар говорит, что по этическим соображениям его компания не будет размещать в открытом доступе Rakshasa, но предоставит к нему доступ производителям компьютерной периферии, чтобы те могли воочию убедиться, как НЕ надо делать системные прошивки.

    В будущем Toucan System намерена развивать концепцию Rakshasa, чтобы концептуальный код получил возможность удаленного сетевого обновления, работы через HTTPS и FTP. Подробное описание кода доступно по адресу http://www.toucan-system.com/research/blackhat2012_brossard_hardware_backdooring.pdf



    источник
     
    7 пользователям это понравилось.
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.594
    Rakshasa - новое вредоносное ПО, способное заражать BIOS CMOS и компрометировать систему

    Эксперты eScan в России и СНГ прокомментировали появление Rakshasa - нового концептуального вредоносного ПО, способного заражать BIOS, CMOS и компрометировать систему на уровне «железа», не оставляя каких-либо следов на жестком диске компьютера.

    Rakshasa был представлен на конференции Black Hat французским исследователем в области информационной безопасности Джонатаном Броссаром.

    Концепт Rakshasa способен работать на более чем 200 моделях материнских плат и базируется на микропрограммах с открытым исходным кодом, предназначенных для замены проприетарных BIOS.

    [​IMG]

    Главное отличие новой вредоносной программы от других вирусов, атакующих BIOS, – возможность загрузки буткит-кода с уделенного сервера в оперативную память каждый раз при старте компьютера. (Напомним, что буткит-код – это вредоносный код, загружающийся до старта ОС, что позволяет ему взять под контроль операционную систему и процесс её загрузки).

    «Ранее вредоносные программы хранили буткит-код в MBR (главной загрузочной записи) жесткого диска. Теперь же концепт-вирус Rakshasa продемонстрировал возможность удаленной загрузки буткит-кода, что, без сомнения, усложняет или даже делает невозможным обнаружение такой вредоносной программы традиционными антивирусными решениями, работающими на уровне операционной системы, - говорит руководитель экспертной группы eScan в России и СНГ Николай Ионов. - Особенная опасность таких вредоносных программ заключается в том, что в отличие от традиционных вирусов, компьютерная система остается скомпрометированной и после полной переустановки ОС. Для полного удаления следов вредоносной программы может понадобиться дорогостоящая процедура перепрошивки многих "железных" компонентов, включая материнские платы и сетевые карты, что в некоторых случаях может быть сопоставимо со стоимостью компьютера. Потенциально такой тип вредоносных программ представляет очень большую угрозу».

    «К счастью, на сегодня данный концепт является лишь “лабораторной” разработкой, главная цель которой – привлечение внимания не только к защите операционных систем и программ, но также и к безопасности “железа”, - отмечает эксперт eScan. - Для защиты от подобных вирусов необходимо тесное сотрудничество вендоров антивирусного ПО с производителями аппаратных средств и разработчиками прошивок. Необходимо использовать высокоэффективные решения, способные анализировать всю сетевую активность компьютеров сети и верифицировать целостность ПО, встроенного в аппаратное обеспечение».

    «Появление подобного концептуального вредоносного программного обеспечения поднимает важные вопросы безопасности, связанные с утечкой конфиденциальных и секретных данных. Потенциально злоумышленники могут использовать аналогичные технологии для заражения компьютерных систем ещё на стадии поставки комплектующих, что делает обнаружение "закладок" крайне затруднительным», - добавляет эксперт eScan.

    Источник
     
    9 пользователям это понравилось.

Поделиться этой страницей