Vírus que carrega junto com a Bios é descoberto.
Pesquisadores de segurança desenvolveram um novo bootkit BIOS que explora vulnerabilidades recém-descobertas. Os especialistas irão apresentar o seu estudo ao CanSecWest.
Bootkits BIOS são uma realidade, apesar de há pouca evidência de implantes de BIOS em estado selvagem. Os bootkits BIOS foi mencionado quando Snowden divulgou o catálogo de instrumentos de vigilância utilizados pela NSA ANT divisão, estes códigos maliciosos são capazes de comprometer a BIOS da máquina da vítima garantindo persistência e implementação de técnicas de evasão sofisticados. O implante BIOS sobrevive mesmo é o sistema operacional for reinstalado. Recentemente especialistas da Kaspersky Lab descobriram que uma sofisticada APT,O Grupo Equation , usado bootkits BIOS para comprometer uma máquina alvo, devido à complexidade dos implantes maliciosos muitos especialistas em segurança especulado um link direto betweeen a tripulação hacking e da NSA .
Ambos NSA e do Grupo A equação (a tripulação pirataria é utilizado tanto em EquationDrug e GrayFish plataformas) a que se refere o NLS_933W.DLL módulo que é amplamente utilizado por fornecedores principais. O nls_933w.dll contém um driver que derruba o malware, o motorista implementado por atacantes permite a interação com o disco rígido a partir do nível do kernel, como explicaram os especialistas da Kaspersky.
"Não é que o código que era tão sofisticado; que costumava certas sequências de comandos ATA para interagir com o disco rígido, mas a parte sofisticada não foi exposto. Foi a [reprogramado] firmware em si ", disse Vitaly Kamluk, principal pesquisador de segurança da Kaspersky Lab" Para dominar a escrever o firmware, leva anos para fazer isso. Acabamos de ver que o nível de sofisticação é alta por causa do que eles são capazes de fazer, mas não temos o próprio firmware. "" Este é um mecanismo de persistência final, e tem a capacidade de resistência definitiva para remoção. Este é um próximo nível de persistência nunca visto antes ", continua Kamluk" Esta é a única e primeira vez que vimos esse nível de complexidade de um ator avançada. "
Hoje, na conferência CanSecWest em Vancouver, os pesquisadores Corey Kallenberg e fundadores Xeno Kovah de startup LegbaCore , irá apresentar sua pesquisa sobre um novo conjunto de vulnerabilidades BIOS e os resultados de seu trabalho sobre o desenvolvimento de um rootkits BIOS de trabalho.
Os pesquisadores descobriram um método para mecanismo de proteção de desvio BIOS, mas o aspecto mais interessante da pesquisa é que os especialistas têm definido um método para automatizar a descoberta de vulnerabilidades.
O truque é viável em condições específicas, o invasor precisa ter acesso remoto à máquina de destino para implantar o bootkit BIOS, o que lhe permite elevar privilégios na máquina através do hardware.
Como é que as obras Bootkit BIO?
O exploit projetado pelos pesquisadores desativa os mecanismos de defesa do BIOS, que impedem o firmware re-piscando, e injetar e executar o código malicioso.
O aspecto mais assustando do bootkit BIOS desenvolvida pela Kallenberg e Kovah é que o implante é injetado em System Management Mode, que é um modo de operação de computador em que toda a execução normal, incluindo o sistema operacional, é suspenso e software separado especial, incluindo o firmware .é executado com privilégios elevados.
Os pesquisadores exploraram o modo de gestão do sistema para executar o seu bootkit BIOS com altos privilégios e gerenciar vários componentes da arquitetura alvo, incluindo a memória.Os pesquisadores destacaram que distro também seguro como Tails poderia ser alvo de implante, o bootkit BIOS pode ser usado para roubar dados confidenciais e também a chave PGP secreta usada pelo sistema operacional popular.
"A idéia é que, se o sistema operacional está comprometida por um implante, não há problema em usar Tails para comunicação (todas as ligações à Internet são feitas através do navegador Tor) porque está protegido contra o malware que atingiu o sistema operacional principal", disse Kallenberg. "O que o implante não é ele aguarda Tails para inicializar e arranhões de dados sensíveis sem memória e exfiltrates-lo. Nosso agente escuta no fundo, não Tails não vê-lo. ""Nós armazenar dados em uma área não-volátil e não é apagado", explicou Kallenberg. "A idéia é tornar óbvio que estes disco de inicialização segura coisas de estilo são arquitetonicamente vulneráveis a atacantes que vêm em você do espaço nível de BIOS. "
O implante funciona em variantes do BIOS de muitos fornecedores e de acordo com o especialista, o bootkit BIOS é eficaz também contra UEFI, que é considerada a evolução do BIOS.
Vamos esperar por mais material da apresentação.
Comentários