Создан вирус для периферийных устройств компьютера

Issledovateli po Info_BesopasnostiИсследователю по информационной безопасности Джонатану Броссарду удалось создать POC-код для бэкдора, способного переписать BIOS и скомпрометировать операционную систему компьютера во время процесса загрузки, не оставляя следов на жестком диске.

Броссард является генеральным директором французской антивирусной компании Toucan System. Он продемонстрировал действие своего вредоносного приложения Rakshasa в ходе выступлений на конференциях Defcon и Black Hat.

Вредоносное приложение получило свое название в честь демона из индуистской мифологии.

Бэкдор является не первым примером вредоносного ПО, созданного для проведения атаки на BIOS. Тем не менее, оно является уникальным из-за использования новых методов атаки, позволяющих увеличить устойчивость Rakshasa к антивирусам и понизить шансы обнаружения.

В ходе атаки вирус заменяет BIOS материнской платы, способен инфицировать прошивку других периферийных устройств, в том числе сетевой карты или CD привода.

Броссард подчеркнул, что Rakshasa был создан на базе программного обеспечения с открытым исходным кодом. В частности использовалась комбинация ПО Coreboot и SeaBIOS, являющихся альтернативными продуктами, работающими на различных материнских платах от многих производителей. Также был использован код прошивки для загрузки по сети от компании iPXE.

Все эти компоненты были модифицированы таким образом, чтобы вирус не выдавал своего присутствия на системе во время процесса загрузки. Например, Coreboot способен использовать пользовательские заставки для имитации некоторых BIOS.

Вирус способен самостоятельно восстанавливать себя на зараженной машине. Это возможно из-за особенностей современной архитектуры компьютера, предоставляющей каждому периферийному устройству равные права доступа к оперативной памяти.

Создавая Rakshasa, Броссард хотел доказать, что подобные бэкдоры являются практичными и могут быть установлены на ПК в ходе его доставки до конечного потребителя. А так как большинство компьютеров, в том числе Mac, были изготовлены в Китае, то проследить за процессом производства комплектующих зачастую невозможно.

Исследователь сообщил, что удаленные атаки при помощи Rakshasa не являются практичными, поскольку атакующему предварительно необходимо будет получить системные привилегии. Более того, некоторые PCI устройства имеют физический переключатель, положение которого должно быть изменено перед прошивкой.

Неуловимость вируса обеспечивается тем, что прошивка iPXE, работающая на сетевой карте, загружается до операционной системы и способна заразить ее до запуска антивирусных продуктов.

Ряд известных вредоносных программ хранят код буткита на жестком диске в физических секторах для главной загрузочной записи (master boot record, MBR), что делает его легким для обнаружения специалистами по компьютерной криминалистике. Rakshasa использует iPXE прошивку для загрузки буткита с удаленного компьютера и загружает его в память при каждой загрузке компьютера.

После того, как буткит внес вредоносные изменения в ядро операционной системы, он может быть выгружен из памяти. Это значит, что анализ оперативной памяти компьютера также может оказаться бесполезным.


Обновлено (30.07.2012 23:49)