Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Экспериментальный бэкдор Rakshasa способен выступать в роли BIOS

Экспериментальный бэкдор Rakshasa способен выступать в роли BIOS

Экспериментальный бэкдор Rakshasa способен выступать в роли BIOS


30.07.2012



Генеральный директор французской ИБ-компании Toucan System Джонатан Броссар говорит о создании концептуального аппаратного бэкдора Rakshasa, способного подменить собой BIOS компьютера и скомпрометировать операционную систему во время ее загрузки без каких-либо следов на жестком диске компьютера. Броссар продемонстрировал новый код в минувший уик-энд на конференции Defcon в США. Ранее упрощенная версия данного кода была представлена в рамках закрытой презентации на конференции Black Hat.

Отметим, что Rakshasa - это не первый образец вредоносного программного обеспечения, атакующего BIOS компьютера на уровне системной прошивки материнской платы. Однако в отличие от ранее созданных вредоносов, новинка использует ряд новых трюков, затрудняющих ее детектирование и удаление. Rakshasa заменяет собой BIOS на материнской плате и фактически берет на себя системную инициализацию аппаратных компонентов компьютера. Вдобавок к этому, Rakshasa способен заражать прошивку PCI или другие периферийные устройства (при наличии поддерживаемого формата прошивки), чтобы достичь избыточного уровня работоспособности.

Базируется Rakshasa на открытом программном обеспечении и заменяет родную версию BIOS компьютера экзотической комбинацией открытых реализаций BIOS Coreboot и SeaBIOS, что позволяет ему работать на различных материнских платах от разных производителей, он также переписывает компоненты iPXE, ответственные за сетевую загрузку компьютера или сервера (располагается в некоторых моделях сетевых карт).

Броссар говорит, что при модификации любой из этих прошивок любые антивирусы, работающие на уровне операционной системы, ничего не заподозрят и вредоносный код избежит обнаружения, при этом, сам вредоносный код без проблем сможет перехватывать данные, слушать целевой трафик и проводить другие операции. За счет использования кодов Coreboot авторы кода даже могут создать модифицированный приветственный экран, чтобы пользователь также ничего не заподозрил при включении компьютера.

"При модификации всех этих компонентов современные компьютеры не выдают никаких предупреждений или оповещений со стороны системы, что позволяет Rakshasa совершенно незаметно проникать в систему и подменять почти любые прошивки компонентов. Большинство современных системных прошивок созданы по единому подходу, что позволяет нам писать стандартизированный компонент для всех узлов", - говорит Броссар.

По его словам, многие современные материнские платы имеют два блока хранения BIOS и иных управляющих систем. Rakshasa может заразить один, тогда как во втором сохранится оригинальная версия. Технически, пользователь должен быть довольно продвинутым, чтобы восстановить оригинальный BIOS, поэтому для большинства пользователей заражение Rakshasa фактически означает безвозвратную потерю BIOS.

Броссар говорит, что по этическим соображениям его компания не будет размещать в открытом доступе Rakshasa, но предоставит к нему доступ производителям компьютерной периферии, чтобы те могли воочию убедиться, как НЕ надо делать системные прошивки.

Источник:
CyberSecurity.ru

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"