Новости

Зараженні BIOS або завантажувальних записів жорстких дисків

Вірусописьменники звернули увагу на функції BIOS ще за часів операційних систем DOS (MS-DOS і аналогічних)

Вірусописьменники звернули увагу на функції BIOS ще за часів операційних систем DOS (MS-DOS і аналогічних). Справа в тому, що BIOS в числі іншого містить код переривань - системних функцій, що забезпечують низькорівневе взаємодія операційних систем і устаткування. Зокрема, переривання 13h відповідає за взаємодію з жорстким диском - посекторноє читання / запис інформації.

Перехоплення цього переривання (поряд з іншими) дозволив зловмисникам створити так звані завантажувальні віруси - відновлюються при завантаженні ОС і невидимі для користувача.

ОС Windows не використовує вектори переривань BIOS (обнуляє їх таблицю на початку завантаження і ігнорує її в подальшому) при завантаженні своїх компонентів, починаючи з завантаження ядра, тому перехоплення переривань BIOS для шкідливих програм зараз менш актуальне. Єдине, що можна зробити за допомогою переривання 13h, - прочитати або перезаписати довільний сектор на диску до завантаження ОС.

У 2011 році фахівці «Доктор Веб» зафіксували по-своєму унікальний руткит, який отримав назву Trojan.Bioskit.1. Його особливість - у тому, що він інфікує BIOS персональних комп'ютерів, причому тільки якщо на ПК встановлено BIOS виробництва компанії Award Software. Пізніше були виявлені спроби поширення ще однієї модифікації Trojan.Bioskit, проте через помилки в коді ця версія троянця не становить серйозної загрози.

Отримати доступ і тим більше перезаписати мікросхему з BIOS - завдання нетривіальне. Для цього спочатку необхідно організувати взаємодію з чіпсетом материнської плати для дозволу доступу до чіпу, потім потрібно пізнати сам чіп і застосувати знайомий для нього протокол стирання / запису даних. Але автор цієї шкідливої програми пішов легшим шляхом, переклавши всі ці завдання на сам BIOS. Він скористався результатами роботи китайського дослідника, відомого під ніком Icelord. Робота була виконана ще в 2007 році: тоді при аналізі утиліти Winflash для Award BIOS був виявлений простий спосіб перепрошивки мікросхеми через сервіс, що надається самим BIOS в SMM (System Management Mode). Програмний код SMM в SMRAM непомітний операційній системі (якщо BIOS коректно написаний, то доступ до цієї пам'яті їм заблокований) і виконується незалежно від неї.

До речі, згаданий SMM - вельми цікава річ. Режим системного управління (англ. System Management Mode, SMM) - режим, при якому припиняється виконання іншого коду (з міжнародним кодом операційної системи) і запускається спеціальна програма - у найбільш привілейованому режимі. Як завжди, замислювався режим в благородних цілях - його використання дозволяє обробляти помилки пам'яті і чіпсетів, а також вимикати процесор при перегріванні. Але він дозволив також обходити вбудовані в ОС системи захисту і запускати руткіти. Код, що працює в режимі SMM, отримує необмежений доступ до всієї системної пам'яті, включаючи пам'ять ядра і пам'ять гипервизора.

Rakshasa повністю замінює собою BIOS комп'ютера, виконуючи початкову ініціалізацію апаратного забезпечення засобами Coreboot, емулює призначений для користувача інтерфейс BIOS'а за допомогою SeaBios, инициализирует можливості мережевої завантаження і віддаленого контролю по каналах LAN, WIFI, WIMAX, LTE за допомогою iPXE і надалі завантажує буткіт Kon -boot з метою модифікації змінних ядра ОС Windows і Linux.

Rakshasa володіє вбудованими можливостями здійснювати наступні атаки:

  • Скасування SMM-захисту. Відсутність такого захисту дозволяє запустити шкідливу програму з припиненням виконання іншої програми. Такий процес отримує повноваження супер-адміністратора в операційній системі, який може змінювати будь-які налаштування і модифікувати всі файли, що знаходяться на цьому комп'ютері.
  • Видалення NX біта BIOS - атрибут апаратного заборони виконання коду на сторінці пам'яті. Це дозволяє виконати шкідливий код, що, в свою чергу, дозволяє отримати дистанційне керування комп'ютером, обходячи систему паролів операційної системи.
  • Відключення ASLR-рандомізації - технології випадкового розташування коду і даних важливих процесів в адресному просторі. ASLR-рандомизация ускладнює для атакуючого виконання довільного шкідливого коду, так як адреса вразливою структури процесу йому невідомий. З відключеною ASLR серйозно спрощується злом будь-якій операційній системи.
  • Отримання паролів засобів шифрування TrueCrypt / BitLocker за допомогою підміни поля введення пароля. Далі з використанням емуляції введення з клавіатури засобами BIOS, дані розшифровуються і можуть бути скопійовані або змінені.
  • Модифікація файлової системи до завантаження ОС з метою активація режимів віддаленого адміністрування і зараження вірусами.

Rakshasa:

  • Має можливість завантаження окремих модулів або навіть цілих образів ОС з використанням бездротових технологій WIFI і WIMAX, що дозволяє обійти мережеві екрани і скомпрометувати всю комп'ютерну мережу.
  • Володіє засобами відновлення після перепрошивки BIOS і переустановлення операційної системи, використовуючи заздалегідь записаний образ вірусу на будь-PCI пристрій, наприклад, мережеву карту, контролер SATA і навіть плату довірчої завантаження.
  • Може долати апаратні засоби довірчої завантаження, так як до їх ініціалізації виконується мікропрограма материнської плати.

Типовим сценарієм зараження вірусом Rakshasa є доступ до апаратної частини комп'ютера і здійснення завантаження вірусу зі змінного носія на будь-якому з етапів поставки комплектуючих. Фактично, новий комп'ютер вже може виявитися скомпрометованим.

https://news.drweb.ru/?i=1879&c=9&lng=ru

Ru/?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: