LINUX.ORG.RU

Руткит в BIOS

 ,


0

0

Заражение микросхемы BIOS в компьютере до сих пор считалось чем-то из области фантастики. Именно BIOS (Basic Input/Output System) отвечает за сохранение конфигурации системы в неизменном виде, а также за исполнение базовых функций ввода и вывода информации. Тем не менее, два аргентинских специалиста, Альфредо Ортега (Alfredo Ortega) и Анибал Сакко (Anibal Sacco) из компании Core Security Technologies показали на конференции по информационной безопасности CanSecWest успешное введение в BIOS специальной программы для удаленного управления, или руткита (rootkit). В частности, им удалось на глазах зрителей заразить компьютеры с операционными системами Windows и OpenBSD, а также виртуальную машину OpenBSD на платформе VMware Player.

Хотя для заражения BIOS по методу Ортеги и Сакко необходимо заранее скомпрометировать машину или иметь физический доступ к машине, последствия такого заражения оказались просто ужасными – даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена. Подробнее об атаке на BIOS можно прочитать в блоге ThreatPost.

копипаста с http://teh-podderzhka.3dn.ru/news/200...

Данная работа основана на рутките от Джона Хисмана: http://searchsecurity.techtarget.com/...

>>> Подробности

★★☆☆☆

Проверено: Shaman007 ()

У меня на материнке перемычка есть, запрещающая перезапись :)

kub
()
Ответ на: комментарий от Zitzy

> Или нашли какую-нить одну материнку, потыкались и побежали на конференцию?

Для этой чумы достаточно одной марки. Только есть подозрение, что на всех аналогичных тоже сработает.

Orlusha ★★★★
()

Насколько помню: основная проблема вирусов сидящих в mbr/boot является защищенный режим ОС. Как они это обошли, интересно? На ум приходят только фантастика с VM, да всякие транслируемые блоки типа DSDT.

x-com
()
Ответ на: комментарий от Black_Shadow

> Скоро руткиты будут в микрокод процессора внедрять

А Вы уверены, что их там нет с завода (например, для отслеживания нелицензионного содержимого)? :(((

Orlusha ★★★★
()
Ответ на: комментарий от AleXP

>> даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена

> И где же вирус в таком случае прячется? В блоке питания?

При перепрошивке ОС загружается или нет? Так вот, вирус активируется в ОЗУ и после прошивки восстанавливается во флэш-памяти.

Мораль: материнки, в которых микросхема БИОС впаяна намертво, а не вставлена в кроватку, опасны, ибо в стандартном программаторе (которому вирусы пофиг, всё сотрёт) их не перешьёшь -- или надо срочно добывать приспопобы, позволяющие программатору работать с микросхемами прямо на материнке, ибо перепай -- операция несколько рискованная.

Orlusha ★★★★
()
Ответ на: комментарий от Orlusha

> При перепрошивке ОС загружается или нет? Так вот, вирус активируется в ОЗУ и после прошивки восстанавливается во флэш-памяти.

> даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена

Ну, если шить из зараженной операционной системы, то возможно. Но какой идиот так будет делать? ИМХО даже из "здоровой" - глупо. Шить (если не программатором) средствами самой БИОС, есть защищенный от записи участок флэш, в котором и хранится этот монитор, или загрузив с защищенного от записи носителя ДОС ( если угодно - Линукс с лайвсиди).

AleXP
()
Ответ на: комментарий от AleXP

Биосм в оперативке висит, при перепрошивке у тебя только микросхемка гакается, а оперативка со старым, зараженным не отключается и руткит свободно пишет себя в новый биос. Так-то. К.О.

rave
()

да ну злосность руткита сильно преувеличена. при полном стирании информации на жестком диске вирус деактивируется. да биос остаетсся патченым, но патч биоса лишь позволяет работать руткиту, а не сам является руткитом. перепрошивка биоса из под дос при условии отформатированного винта не даст вирусу далее работать. короче читате презентацию чтоб было более менее понятно: http://download.coresecurity.com/corporate/attachments/Persistent_BIOS_Infect...

grokin
()
Ответ на: комментарий от AleXP

> И где же вирус в таком случае прячется? В блоке питания?

Ужас, нужно не допускать никого к своим "железкам", а то мало ли монитор или хуже того, мышь заразят.

Vest
()

БивисокапецЪ

>Да я сносил, а они (вирусы) в шлейфах сидят! А потом опять размножаются!

Продам, освященные патриком, провода и шлейфы для компьютера, не подверженные заразе, 100 баксов/метр.

>А ваще, вспомним чернобыль - очень веселый вирус, кстати...

+1, он у меня был первым и последним вирем, вот только начиная с июня, а дальше я его почикал, оставив себе копию :)

>> Скоро руткиты будут в микрокод процессора внедрять

>А Вы уверены, что их там нет с завода (например, для отслеживания нелицензионного содержимого)? :(((

Закладки в железе могут быть внедрены отнюдь не для столь мирных целей, а целей контроля военными штатов инфраструктуры врага, которому поставляется в огромных кол-вах железо, если вдруг начнутся боевые действия. Пропиетарное ПО тоже может их содержать.

MMouXe
()
Ответ на: комментарий от GreyDoom

> То уязвимости в процессорах, то заражение биоса.. Что дальше?

Рак северного моста. Прийдётся покупать антивирусные наклейки на корпус.

Barlog_M
()
Ответ на: комментарий от ManMachine

> А ещё при физическом доступе к машине можно сломать пополам материнскую плату.

Сломанная пополам материнка не может рассылать спам.

Orlusha ★★★★
()
Ответ на: комментарий от grokin

> но патч биоса лишь позволяет работать руткиту, а не сам является руткитом.

Не факт.

>перепрошивка биоса из под дос при условии отформатированного винта не даст вирусу далее работать.

При загрузке ЛЮБОЙ (!!!) ОС вначале вызывается загрузочный блок биоса, который считывает с диска загрузочный сектор и передаёт ему управление. Это так в тех компьютерах, в которых есть БИОС. (В IBM PC XT было НЕПРОГРАММИРУЕМОЕ СХЕМНОЕ решение, считывавшее загрузочный блок с диска и передававшее ему управление. Во всех последующих аппаратах был БИОС.) Так вот, руткит активируется ДО СЧИТЫВАНИЯ загрузочной информации с диска -- и садится в память. Всё, машина заражена...

Orlusha ★★★★
()
Ответ на: комментарий от x-com

> Насколько помню: основная проблема вирусов сидящих в mbr/boot является защищенный режим ОС. Как они это обошли, интересно? На ум приходят только фантастика с VM, да всякие транслируемые блоки типа DSDT.

Ничего фантастического. Никто не мешает перехватывать обращения к диску и патчить ядро, вставляя переходы на свой код, который сидит в резидентной памяти. Для примера под winnt смотреть bootkit, очень понятный и грамотный код.

ЗЫ Догадайтесь у каких устройст есть документрованная команда download microcode? Если кто не догадался, тут недавно вирус был, он на эти девайсы просто пароль ставил. Кстати тоже фича стандарта, и все устройства это поддерживают =)

gloomdemon
()

Забавно. Если бы я отвечал за безопасность, то ногти бы уже сгрыз по локоть из-за отсутствия отечественной базы по разработке и производству вычислительной и офисной техники.

Evgueni ★★★★★
()
Ответ на: комментарий от AleXP

> И где же вирус в таком случае прячется? В блоке питания?
В памяти. И тут же восстановит себя в прошивке
после её перешивания - перезагрузиться просто не
успеешь.

> а биос обнулить достав батарейку не?
Это обнуляет не биос, а cmos nvram с настройками
биос-сетапа.

anonmyous ★★
()

Это реально жопа. Особенно учитывая то, что биос может быть заражен прямо у производителя.

Ботнет прямо из магазина.

AVL2 ★★★★★
()
Ответ на: комментарий от anonmyous

> И где же вирус в таком случае прячется? В блоке питания? В памяти. И тут же восстановит себя в прошивке после её перешивания - перезагрузиться просто не успеешь.

А разве "обычный" бутовый вирус не так же работает? И ничего, лечится.

AleXP
()
Ответ на: комментарий от AleXP

> А разве "обычный" бутовый вирус не так же работает? И ничего,
> лечится.
Немного не так. Код биоса может сидеть в shadow ram, доступ
к которой на запись запрещён средствами чипсета (в отличии
от запрета записи на уровне защиты страниц, которую антивирь
мог бы обойти). Бутовый вирус в shadow ram не залез бы.
Кроме того, биосовый вирус может и в smm memory сидеть,
где его и по чтению сложно обнаружить будет.
Одним словом, раздолья тут гораздо больше, а антивирус отдыхает.
Наверное, разработчики антивирусов тоже будут пытаться что-то
придумать, но в данной ситуации им не позавидовать. Если вирусу
удалось спуститься на уровень ниже, заручившись аппаратной
защитой, то на какое-то время разрабы антивирусов будут в
глубоком ауте, куда им, в общем то, и дорога. :)

anonmyous ★★
()

идея - баян!

уже сто лет назад такое было известно и делалось boot-вирусами,,,

Может Alfredo & Anibal америку для себя открыли, в чем новость!?

papay ★★★
()
Ответ на: комментарий от Zitzy

Можно и еще проще на компьютере с AMT можно и без перепрошивки bios настроить удаленный доступ да еще и включать его через интернет например :-)

fAngel
()
Ответ на: комментарий от papay

Сто лет назад было известно, что форматирование на низком уровне винчестера гарантирует уничтожение вируса. Теперь также очевидно, что это не так.

AVL2 ★★★★★
()
Ответ на: БивисокапецЪ от MMouXe

>Закладки в железе могут быть внедрены отнюдь не для столь мирных целей, а целей контроля военными штатов инфраструктуры врага, которому поставляется в огромных кол-вах железо, если вдруг начнутся боевые действия. Пропиетарное ПО тоже может их содержать.

они восстанут и меня прикончат!!!!11111

vostrik ★★★☆
()
Ответ на: комментарий от Orlusha

У оверклокеров сейчас мода пошла на материнки с несколькими копиями BIOS, между которыми можно переключаться с помощью перемычек.

anonymfus ★★★★
()
Ответ на: комментарий от AVL2

>Сто лет назад было известно, что форматирование на низком уровне винчестера гарантирует уничтожение вируса.

Ничё не поменялось. Если вирус НА ВИНТЕ то его форм-ние на низком уровне его сотрёт С ВИНТА.

Между прочим на преобладаюшей половине MB есть джампер отвечающий за блокировку извне к ПЗУ и КМОСу. у мну всегда так стоит. а если надо проабдейтить биос то можно и снять на время. всёравно биос не прошивается каждей несколько дней. так что это не столь существенный трабл.

belial_bsd
()
Ответ на: комментарий от rave

> Капитан Очевидность, перелогиньтесь :)
Человеку было интересно узнать, чем биосовый
вирус может отличаться от бутового. Я разжевал,
как мог. У тебя по делу есть что для него добавить?
Вот и всё. :)

anonmyous ★★
()

Надеюсь, прежде чем роботессы пойдут в серию, это пофиксят.

MageasteR ★★★★★
()


ХОТЕТ!!!!! ИСХОДНИКИ!!!!!!!
Акуеть! Так же можно написать свой собственный логин на ноут!

xawari
()

Вообще-то имея ФИЗИЧЕСКИЙ доступ к компьютеру можно не только BIOS "пропатчить", но и сетевую карту "заапгрейдить" (там тоже есть ЕПРОМ), а также видеокарточку "модифицировать", добавить функциональности ПО жеских дисков, набить морду хозяину и дать взятку его начальнику, чтобы рассылать СПАМ!

Мало того: при условии закрытых спецификаций ПО и BIOS и можно таких "хоттабычей" заложить, что "аргентинским хакерам" и не снилось!

Pronin ★★★★
()
Ответ на: комментарий от shodan_x

Таки грядет компьютерокапец. До терминаторов не доживут видать. Компы в смысле.
Насчет перемычки на мамке - у себя такой не видел. Плата гигабайтовская относительно новая (полгода стоит). Модель, сидя на работе, не вспомню. Т.е. какова распространенность этой тычки и в каком она положении при продаже? Если не в р/о, то...леммингам не объяснить.

DarkLioN
()
Ответ на: комментарий от belial_bsd

>Ничё не поменялось. Если вирус НА ВИНТЕ то его форм-ние на низком уровне его сотрёт С ВИНТА.

Вот это и поменялось. Раньше вирус ВСЕГДА был на винте. Поэтому достаточно было загрузиться с проверенной дискеты, чтобы ГАРАНТИРОВАННО избежать запуска вируса.

А теперь, в этих новых условиях, попробуй опиши последовательность действий ГАРАНТИРУЮЩУЮ чистую загрузку компьютера. Другими словами, предположи, что биос УЖЕ заражен и попробуй его обойти без внешнего программатора.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

адин хер У мну джампер на запрет записи биоса стоит и не волнует

belial_bsd
()

ЕМНИП Gigabyte делала платы с двумя физическими микросхемами BIOS.

Если есть подозрения, менять местами микрухи и грузиться с резервной.

ef37 ★★
()

вообще: 1. этот клас ПО зовется Bootkit, а не руткит 2. этой категории ПО более 7 лет. 3. affected ~65% оборудования поставляеммого в РФ(потому и контроллируются каналы). 4. "бытовое использование" многим знакомо по загрузочным чэйнлоадерам с USB-флешек для обхода разного рода систем защиты(hw-dep), а также custom-модулям к модульному фирмверу(оба вендора FW для PC и Ами и феникс-авард). 5. "очень любимо" в кругу спецслужб. см также п 3(косвенно обьясняет % "бывших" в этой отрасли).

BasileyOne
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.