ICQ:646445725 646445725 - для физ. лиц

619531872 619531872 - для юр.  лиц
      

Ваше мнение
Партнерский статус
Баннер
Баннер
Баннер
Баннер
Баннер
Проект CHERNIL.NET
Баннер
Клиентская панель



Новостные ленты
Заражении BIOS или загрузочных записей жестких дисков PDF Печать E-mail
Автор: Халатов Павел   

fdsf

Вирусописатели обратили внимание на функции BIOS еще во времена операционных систем DOS (MS-DOS и аналогичных). Дело в том, что BIOS в числе прочего содержит код прерываний – системных функций, обеспечивающих низкоуровневое взаимодействие операционных систем и оборудования. В частности, прерывание 13h отвечает за взаимодействие с жестким диском – посекторное чтение/запись информации.

 

Перехват этого прерывания (наряду с иными) позволил злоумышленникам создать так называемые загрузочные вирусы – восстанавливающиеся при загрузке ОС и невидимые для пользователя.

ОС Windows не использует векторы прерываний BIOS (обнуляет их таблицу в начале загрузки и игнорирует ее в дальнейшем) при загрузке своих компонентов, начиная с загрузки ядра, поэтому перехват прерываний BIOS для вредоносных программ сейчас менее актуален. Единственное, что можно сделать посредством прерывания 13h, – прочитать или перезаписать произвольный сектор на диске до загрузки ОС.

В 2011 году специалисты «Доктор Веб» зафиксировали по-своему уникальный руткит, получивший название Trojan.Bioskit.1. Его особенность – в том, что он инфицирует BIOS персональных компьютеров, причем только если на ПК установлен BIOS производства компании Award Software. Позже были выявлены попытки распространения еще одной модификации Trojan.Bioskit, однако из-за ошибок в коде эта версия троянца не представляет серьезной угрозы.

Получить доступ и тем более перезаписать микросхему с BIOS — задача нетривиальная. Для этого сначала необходимо организовать взаимодействие с чипсетом материнской платы для разрешения доступа к чипу, затем нужно опознать сам чип и применить знакомый для него протокол стирания/записи данных. Но автор этой вредоносной программы пошел более легким путем, переложив все эти задачи на сам BIOS. Он воспользовался результатами работы китайского исследователя, известного под ником Icelord. Работа была проделана еще в 2007 году: тогда при анализе утилиты Winflash для Award BIOS был обнаружен простой способ перепрошивки микросхемы через сервис, предоставляемый самим BIOS в SMM (System Management Mode). Программный код SMM в SMRAM не виден операционной системе (если BIOS корректно написан, то доступ к этой памяти им заблокирован) и исполняется независимо от нее.

Кстати, упомянутый SMM – весьма интересная вещь. Режим системного управления (англ. System Management Mode, SMM) — режим, при котором приостанавливается исполнение другого кода (включая код операционной системы) и запускается специальная программа – в наиболее привилегированном режиме. Как всегда, задумывался режим в благородных целях – его использование позволяет обрабатывать ошибки памяти и чипсетов, а также выключать процессор при перегреве. Но он позволил также обходить встроенные в ОС системы защиты и запускать руткиты. Код, работающий в режиме SMM, получает неограниченный доступ ко всей системной памяти, включая память ядра и память гипервизора.

Rakshasa полностью заменяет собой BIOS компьютера, выполняя начальную инициализацию аппаратного обеспечения средствами Coreboot, эмулирует пользовательский интерфейс BIOS’а с помощью SeaBios, инициализирует возможности сетевой загрузки и удаленного контроля по каналам LAN, WIFI, WIMAX, LTE с помощью iPXE и в дальнейшем загружает буткит Kon-boot с целью модификации переменных ядра ОС Windows и Linux.

Rakshasa обладает встроенными возможностями осуществлять следующие атаки:

  • Отмена SMM-защиты. Отсутствие такой защиты позволяет запустить вредоносную программу с приостановкой исполнения другой программы. Такой процесс получает привилегии суперпользователя-администратора в операционной системе, который может изменять любые настройки и модифицировать все файлы, находящиеся на этом компьютере.
  • Удаление NX бита BIOS – атрибут аппаратного запрета выполнения кода на странице памяти. Это позволяет выполнить вредоносный код, что, в свою очередь, позволяет получить удаленное управление компьютером, обходя систему паролей операционной системы.
  • Отключение ASLR-рандомизации – технологии случайного расположения кода и данных важных процессов в адресном пространстве. ASLR-рандомизация затрудняет для атакующего выполнение произвольного вредоносного кода, так как адрес уязвимой структуры процесса ему неизвестен. С отключенной ASLR серьезно упрощается взлом любой операционной системы.
  • Получение паролей средств шифрования TrueCrypt/BitLocker с помощью подмены поля ввода пароля. Далее с использованием эмуляции ввода с клавиатуры средствами BIOS, данные расшифровываются и могут быть скопированы или изменены.
  • Модификация файловой системы до загрузки ОС с целью активация режимов удаленного администрирования и заражения вирусами.

Rakshasa:

  • Имеет возможность загрузки отдельных модулей или даже целых образов ОС с использованием беспроводных технологий WIFI и WIMAX, что позволяет обойти сетевые экраны и скомпрометировать всю компьютерную сеть.
  • Обладает средствами восстановления после перепрошивки BIOS и переустановки операционной системы, используя заранее записанный образ вируса на любое PCI устройство, например, сетевую карту, контроллер SATA и даже плату доверительной загрузки.
  • Может преодолевать аппаратные средства доверительной загрузки, так как до их инициализации выполняется микропрограмма материнской платы.

Типичным сценарием заражения вирусом Rakshasa является доступ к аппаратной части компьютера и осуществление загрузки вируса со съемного носителя на любом из этапов поставки комплектующих. Фактически, новый компьютер уже может оказаться скомпрометированным.

https://news.drweb.ru/?i=1879&c=9&lng=ru

 
  • Наша фирма начала продажу электронных книг  и планшетов. Ассортимент пока невелик, но мы готовы принять заказы и доставить Вам понравившееся устройство.
    Подробнее...

  • Мы с радостью ответим на Ваши вопросы по тел. 2-31-91 или 8-910-79-333-55.
    Если Вам по душе более живое общение - приходите к нам по адресу: ул. Парковая д.12 (цокольный этаж).  
    ICQ:
    646445725 646445725- для физ. лиц
    619531872 619531872 - для юр. лиц

  • Адрес: ул. Парковая, д. 12. 
    Проезд автобусами 2, 3, 8 до остановки "Славянский рынок".