»сследователь создал вирус дл€ периферийных устройств компьютера

image

“еги: Defcon, Black Hat, вирус, бэкдор, BIOS

Ќовое вредоносное ѕќ Rakshasa способно скомпрометировать целевую систему при загрузке, не оставл€€ следов на жестком диске.

—огласно за€влению исследовател€ информационной безопасности ƒжонатана Ѕроссарда (Jonathan Brossard), ему удалось создать POC-код дл€ бэкдора, способного переписать BIOS и скомпрометировать операционную систему компьютера во врем€ процесса загрузки, не оставл€€ следов на жестком диске. ќб этом сообщает Computerworld.

Ѕроссард, €вл€ющийс€ генеральным директором французской антивирусной компании Toucan System, продемонстрировал действие своего вредоносного приложени€ Rakshasa в ходе выступлений на конференци€х Defcon и Black Hat.

ќтметим, что вредоносное приложение, получившее свое название в честь демона из индуистской мифологии, €вл€етс€ не первым примером вредоносного ѕќ, созданного дл€ проведени€ атаки на BIOS. “ем не менее, оно €вл€етс€ уникальным из-за использовани€ новых методов атаки, позвол€ющих увеличить устойчивость Rakshasa к антивирусам и понизить шансы обнаружени€.

¬ ходе атаки вирус замен€ет BIOS материнской платы, но способен также инфицировать прошивку других периферийных устройств, в том числе сетевой карты или CD привода.

¬ ходе своего выступлени€ Ѕроссард подчеркнул, что Rakshasa был создан на базе программного обеспечени€ с открытым исходным кодом. ¬ частности использовалась комбинаци€ ѕќ Coreboot и SeaBIOS, €вл€ющихс€ альтернативными продуктами, работающими на различных материнских платах от многих производителей.  роме того, был использован код прошивки дл€ загрузки по сети от компании iPXE.

¬се эти компоненты были модифицированы таким образом, чтобы вирус не выдавал своего присутстви€ на системе во врем€ процесса загрузки. “ак, Coreboot способен использовать пользовательские заставки дл€ имитации некоторых BIOS-ов.

 роме того, по словам Ѕроссарда, вирус способен самосто€тельно восстанавливать себ€ на зараженной машине. Ёто возможно из-за особенностей современной архитектуры компьютера, котора€ предоставл€ет каждому периферийному устройству равные права доступа к оперативной пам€ти.

«CD привод может очень хорошо контролировать сетевую карту», - по€снил эксперт.

Ёто значит, что даже после восстановлени€ исходного BIOS-а, вредоносна€ прошивка, хран€ща€с€ на сетевой карте или CD приводе, способна заново инфицировать систему.

ѕо словам Ѕроссарда, создава€ Rakshasa, он хотел доказать, что подобные бэкдоры €вл€ютс€ практичными и могут быть установлены на ѕ  в ходе его доставки до конечного потребител€. ќн также отметил, что большинство компьютеров, в том числе Mac, были изготовлены в  итае, и проследить за процессом производства комплектующих зачастую невозможно.

“акже исследователь сообщил, что удаленные атаки при помощи Rakshasa не €вл€ютс€ практичными, поскольку атакующему предварительно необходимо будет получить системные привилегии. Ѕолее того, некоторые PCI устройства имеют физический переключатель, положение которого должно быть изменено перед прошивкой.

Ќеуловимость вируса обеспечиваетс€ тем, что прошивка iPXE, работающа€ на сетевой карте, загружаетс€ до операционной системы и способна заразить ее до запуска антивирусных продуктов.

–€д известных вредоносных программ хран€т код буткита на жестком диске в физических секторах дл€ главной загрузочной записи (master boot record, MBR), что делает его легким дл€ обнаружени€ специалистами по компьютерной криминалистике. Rakshasa использует iPXE прошивку дл€ загрузки буткита с удаленного компьютера и загружает его в пам€ть при каждой загрузке компьютера.

Ђћы никогда не затрагиваем файловую системуї, - подчеркнул Ѕроссард. “ак, если отдать жесткий диск на экспертную проверку,†вирус†обнаружен не будет.

ѕосле того, как буткит внес вредоносные изменени€ в €дро операционной системы, он может быть выгружен из пам€ти. Ёто значит, что анализ оперативной пам€ти компьютера также может оказатьс€ бесполезным.†

ќзнакомитьс€ с подробными по€снени€ми†Ѕроссарда†можно†здесь.†


или введите им€

CAPTCHA
30-07-2012 17:57:42
ƒополню, что iPXE прошивка поддерживает обмен данными по Ethernet, Wi-Fi и Wimax, а также множество протоколов, среди которых HTTP, HTTPS и FTP - практически неограниченное поле дл€ де€тельности хакера..
0 |
 онстантин
01-08-2012 12:09:09
’ороша€ перспектива((
0 |
vet
01-08-2012 15:37:57
јнтивирус ... в загрузке BIOS ))
0 |
ы
07-08-2012 14:40:31
о дааа)
0 |