Experti demonštrovali funkčný rootkit skrytý v BIOS-e

DSL.sk, 24.3.2009

Dvojica bezpečnostných odborníkov Anibal Sacco a Alfredo Ortega zo spoločnosti Core Security Technologies na minulotýždňovej bezpečnostnej konferencii CanSecWest prezentovala funkčný rootkit ukrytý celý v BIOS-e spolu s kódom, ktorý dokáže tento rootkit do BIOS-u vložiť.

Experti demonštrovali škodlivý kód uložený plne v bežne používanom Award BIOS-e. Kód po spustení operačného systému dokázal napríklad vo Windows zabezpečiť spustenie zvoleného kódu a v OpenBSD modifikovať súbor s heslami.

Podľa prezentovaných informácií škodlivý kód, ktorý sa spustil ako prvý, bol vložený do kódu, ktorý v BIOS-e zabezpečuje dekomprimáciu ostatných komprimovaných modulov BIOS-u. Inštalačný kód na modifikovanie BIOS-u a vloženie rootkitu bol zatiaľ napísaný v jazyku Python a mal 100 riadkov. Inštalačný kód si najskôr skopíroval obsah BIOS-u, vyhľadal v ňom kód zabezpečujúci dekomprimáciu, modifikoval ho, upravil kontrolné sumy a naspäť ho naflashoval.

Takýto škodlivý kód je z BIOS-u možné odstrániť len naflashovaním neinfikovaného originálneho BIOS-u. Prezentovaný kód neskrýval svoju prítomnosť, pri spojení so známymi technikami skrývania môže ísť ale o jeden z najúčinnejších a najťažšie odhaliteľných rootkitov.

Z informácií prezentovaných dvojicou nie je jasné, u ktorých všetkých BIOS-ov sú použitá technika inštalácie škodlivého kódu a samotný škodlivý kód funkčné a účinné. Niektoré BIOS-y v súčasnosti ale už umožňujú overovať digitálny podpis nového flashovaného BIOS-u a funkčnosť aj reálne podporujú niektoré dosky. V takýchto prípadoch bez znalosti použitého kľúča by použitá technika inštalácie bola samozrejme neúčinná.

V roku 2006 bezpečnostný expert John Heasman informoval o dvoch technikách umožňujúcich vložiť škodlivý kód do BIOS-u. V porovnaní s aktuálne predstavenou technikou mali ale výraznejšie obmedzenia, škodlivý kód priamo v BIOS-e základnej dosky bol v skriptovacom ACPI Machine Language s obmedzenými možnosťami, kód v BIOS-e rozširujúcich PCI kariet zase vyžadoval inštalovanú vhodnú PCI kartu.


Najnovšie články:



Diskusia:

Sranda :) Od: PCnity3 | Pridané: 24.3.2009 13:29 Cim dalej tym lepsie... Odpovedať Známka: 7.3 Hodnotiť:

Re: Sranda :) Od: PCnity3 | Pridané: 24.3.2009 13:33 Este ma napada ze jeden desktop u mna s Award biosom ma moznost nastavit write protect EEPROMky. Tym by sa aspon dalo zabranit preflashovaniu biosu nejakym cervom. Odpovedať Známka: 6.9 Hodnotiť:

Re: Sranda :) Od: Kverii | Pridané: 24.3.2009 13:57 ak sa spoji write protect s dual biosom a RSA tak je to poriesene :P Odpovedať Známka: 1.4 Hodnotiť:

Re: Sranda :) Od: PCnity3 | Pridané: 24.3.2009 14:11 Dual bios povazujem za zbytocnost... V najhorsom sa vzdy da spravit hot flash :) Podpisane subory nemam rad... Obmedzuju uzivatela. Najma volakedy bola velka stranda modifikovat si bios napriklad vlozenim EPA loga, fullscreen loga alebo odomknutim "skrytych volieb"... IMHO staci aby kazda doska podporovala write protect. Odpovedať Známka: 4.4 Hodnotiť:

ked to takto pojde dalej... Od reg.: den__ | Pridané: 24.3.2009 13:55 ked to takto pojde dalej, tak budeme mat zachvilu do botnetov zapojene vysavace, rury, chladnicky (niektore hi-endove kludne uz dnes...), svetla, televizory, dvd prehracace (niektore hi-endove kludne uz dnes...) a vobec vsetko co je na baterky alebo sa strka do zastrcky... radiobudiky, kuchynske roboty, klimatizacie, auta,.... radost pomysliet... uaaaaaaaaaaaagggrrrhhhhh..... este ze nie som paranoidny... Odpovedať Známka: 7.9 Hodnotiť:

Re: ked to takto pojde dalej... Od: PCnity3 | Pridané: 24.3.2009 14:13 Ja by som strasne chcel botnet z radiobudikov... LoL Rano okolo 03:00 by sa niekolko tisic ludom naplno pustil budik :) Odpovedať Známka: 7.1 Hodnotiť:

Re: ked to takto pojde dalej... Od: ?????--- | Pridané: 24.3.2009 14:26 nie tisicom ale miliardam ;-) Odpovedať Známka: 7.0 Hodnotiť:

Re: ked to takto pojde dalej... Od: Kapor z Vane | Pridané: 24.3.2009 14:38 Seckym nie, dochodcom budu stacit kukuckove :P Odpovedať Známka: 6.7 Hodnotiť:

Re: ked to takto pojde dalej... Od: to je jedno | Pridané: 25.3.2009 8:39 Uz vidim tie titulky. EXPERTOM SA PODARILO USPESNE ODPREZENTOVAT BOTNET V KUKUCKOVYCH HODINACH. alebo BABETA HACKNUTA!!! do motocykla (sa) nabural mlady cyklista. Odpovedať Známka: 7.5 Hodnotiť:

Re: ked to takto pojde dalej... Od reg.: Composite | Pridané: 24.3.2009 21:23 mne sa o 3 ráno spúšťa PC a robí to asi Systém mechanic a pekne ma sere :D Odpovedať Hodnotiť:

Re: ked to takto pojde dalej... Od reg.: durpalo | Pridané: 25.3.2009 11:52 Do kelu.....nes.r ma :-)....xixi to je predstava, hroza :-D ved to niekto ozaj spravi Odpovedať Hodnotiť:

Re: ked to takto pojde dalej... Od: awefjioaij | Pridané: 25.3.2009 12:02 xixi ? thats low... Odpovedať Hodnotiť:

Re: ked to takto pojde dalej... Od: bbbbbbbbbbbbbb | Pridané: 24.3.2009 14:53 Zabudo si na to najpodstatnejsie, mobily, smartphony uz dnes, halvne ked to o par rokov bude furt pripojene na net :). Odpovedať Známka: 4.3 Hodnotiť:

Re: ked to takto pojde dalej... Od reg.: ShodanN | Pridané: 24.3.2009 16:04 predstavit si ze citas v spravach ako virusom napadnute GPS navigacie od xy spolocnosti poielali osobne auta v noci cez nedokonceny most ... :D Odpovedať Známka: 4.5 Hodnotiť:

Re: ked to takto pojde dalej... Od: claudius | Pridané: 24.3.2009 17:04 never ever. co z toho by mal majitel botnetu? aky zisk? Odpovedať Hodnotiť:

Re: ked to takto pojde dalej... Od reg.: hogo1 | Pridané: 24.3.2009 17:17 mozno je automechanik alebo srotovnik ;) Odpovedať Známka: 7.8 Hodnotiť:

Re: ked to takto pojde dalej... Od: 9875 | Pridané: 24.3.2009 17:19 dal by tam kameru a predaval by to ako nejaky "crash" serial :D Odpovedať Známka: 7.5 Hodnotiť:

Re: ked to takto pojde dalej... Od reg.: den__ | Pridané: 25.3.2009 11:12 lol, ze crash serial :-)))) dobreeeee.... :-))))) Odpovedať Hodnotiť:

dasdsaad Od: dasdasd | Pridané: 24.3.2009 18:37 zachvilku budes mat rootkit aj v zadku .. poseres sa v nepravej chvili ;) Odpovedať Známka: 10.0 Hodnotiť:

........... Od: xxxxxxxxxl530000 | Pridané: 24.3.2009 22:42 Tolké chyby čo sa v poslednej dobe objavujú, hmm. Za všetko môže Mr. Internet (inak by to nemalo zmysel) a programátori (áno, viem aké náročné je napísať bugfree kód). Ale môže za to ten Internet... Odpovedať Hodnotiť:

Re: ........... Od: wqeqeqwe | Pridané: 25.3.2009 7:29 internet nie je pricina ale prostriedok, pricina je ludsky faktor ;) Odpovedať Hodnotiť:

Re: ........... Od reg.: den__ | Pridané: 25.3.2009 11:13 ja by som vsetky tie internety teda zakazal... Odpovedať Hodnotiť:

Cannot modify header information - headers already sent by (output started at /usr/local/projects/dsl.sk/www/lib.php:84) in /usr/local/projects/dsl.sk/www/lib.php on line 912 Od: Matúšov prameň | Pridané: 25.3.2009 15:34 to je seksi ... ja mam inak kocura ... volam ho rootkit... :) Odpovedať Hodnotiť:

Re: Cannot modify header information - headers already sent by (output started at /usr/local/projects/dsl.sk/www/lib.php:84) in /usr/local/projects/dsl.sk/www/lib.php on line 912 Od: Kapor z Vane | Pridané: 25.3.2009 16:12 Kde byvas, ja mam psa, vola sa Anti-rootkit. Odpovedať Známka: 6.0 Hodnotiť:

Pridať komentár