Исследователь создал вирус для периферийных устройств компьютера

Новое вредоносное ПО Rakshasa способно скомпрометировать целевую систему при загрузке, не оставляя следов на жестком диске.
Согласно заявлению исследователя информационной безопасности Джонатана Броссарда (Jonathan Brossard), ему удалось создать POC-код для бэкдора, способного переписать BIOS и скомпрометировать операционную систему компьютера во время процесса загрузки, не оставляя следов на жестком диске. Об этом сообщает Computerworld.
Броссард, являющийся генеральным директором французской антивирусной компании Toucan System, продемонстрировал действие своего вредоносного приложения Rakshasa в ходе выступлений на конференциях Defcon и Black Hat.
Отметим, что вредоносное приложение, получившее свое название в честь демона из индуистской мифологии, является не первым примером вредоносного ПО, созданного для проведения атаки на BIOS. Тем не менее, оно является уникальным из-за использования новых методов атаки, позволяющих увеличить устойчивость Rakshasa к антивирусам и понизить шансы обнаружения.
В ходе атаки вирус заменяет BIOS материнской платы, но способен также инфицировать прошивку других периферийных устройств, в том числе сетевой карты или CD привода.
В ходе своего выступления Броссард подчеркнул, что Rakshasa был создан на базе программного обеспечения с открытым исходным кодом. В частности использовалась комбинация ПО Coreboot и SeaBIOS, являющихся альтернативными продуктами, работающими на различных материнских платах от многих производителей. Кроме того, был использован код прошивки для загрузки по сети от компании iPXE.
Все эти компоненты были модифицированы таким образом, чтобы вирус не выдавал своего присутствия на системе во время процесса загрузки. Так, Coreboot способен использовать пользовательские заставки для имитации некоторых BIOS-ов.
Кроме того, по словам Броссарда, вирус способен самостоятельно восстанавливать себя на зараженной машине. Это возможно из-за особенностей современной архитектуры компьютера, которая предоставляет каждому периферийному устройству равные права доступа к оперативной памяти.
«CD привод может очень хорошо контролировать сетевую карту», - пояснил эксперт.
Это значит, что даже после восстановления исходного BIOS-а, вредоносная прошивка, хранящаяся на сетевой карте или CD приводе, способна заново инфицировать систему.
По словам Броссарда, создавая Rakshasa, он хотел доказать, что подобные бэкдоры являются практичными и могут быть установлены на ПК в ходе его доставки до конечного потребителя. Он также отметил, что большинство компьютеров, в том числе Mac, были изготовлены в Китае, и проследить за процессом производства комплектующих зачастую невозможно.
Также исследователь сообщил, что удаленные атаки при помощи Rakshasa не являются практичными, поскольку атакующему предварительно необходимо будет получить системные привилегии. Более того, некоторые PCI устройства имеют физический переключатель, положение которого должно быть изменено перед прошивкой.
Неуловимость вируса обеспечивается тем, что прошивка iPXE, работающая на сетевой карте, загружается до операционной системы и способна заразить ее до запуска антивирусных продуктов.
Ряд известных вредоносных программ хранят код буткита на жестком диске в физических секторах для главной загрузочной записи (master boot record, MBR), что делает его легким для обнаружения специалистами по компьютерной криминалистике. Rakshasa использует iPXE прошивку для загрузки буткита с удаленного компьютера и загружает его в память при каждой загрузке компьютера.
«Мы никогда не затрагиваем файловую систему», - подчеркнул Броссард. Так, если отдать жесткий диск на экспертную проверку, вирус обнаружен не будет.
После того, как буткит внес вредоносные изменения в ядро операционной системы, он может быть выгружен из памяти. Это значит, что анализ оперативной памяти компьютера также может оказаться бесполезным.
Khabara.Ru
Читайте также ✆ нас в Telegram


Оставить комментарий
Имя:  

Комментарий:

Хабаровчане задают работы матросам-спасателям🏊 С начала лета в Хабаровске утонули четверо человек, один из которых – ребенок: в конце июня мальчик, купавшийся в Амуре в районе поселка Красная речка, не справился с сильным течением. Экстремальное купание в Амуре продолжается, несмотря на запрет.


Примечание: При комментировании материала просим соблюдать законы Российской Федерации. Пожалуйста, воздержитесь от оскорблений и токсичного поведения.

Сводка событий

13:07 В краевой столице начальник следственного управления УМВД России по г. Хабаровску вручил дипломы выпускникам вуза


12:07 Трамп встретится с членами Конгресса сразу по возвращению в США


11:07 В Хабаровске сотрудники полиции проводят проверку по факту ложного сообщения об опасности в лечебном учреждении


11:07 В Солнечном районе сотрудники полиции провели акцию «Знакомьтесь – кинолог»


11:07 Шварценеггер сравнил Трампа на встрече с Путиным с "маленькой вареной макарониной"


11:07 Конгрессмены США подвергли критике высказывания Трампа на встрече с Путиным


11:07 Глава разведки США ответил на сомнения Трампа во вмешательстве РФ в выборы


11:07 В РФ обнаружена бабушка-двойник Трампа


09:07 В Городе юности сотрудники полиции провели мероприятие «Лаборатория безопасности»


09:07 В минувшие выходные спасатели Дальневосточного отряда МЧС России вели поиски заблудившихся в лесах Приморья и Хабаровского края


08:07 В Forbes назвали самую высокооплачиваемую знаменитость


08:07 Британский министр подал в отставку из-за секс-скандала


07:07 В селе Аян начальник управления организации деятельности УУП и ПДН УМВД России по Хабаровскому краю проведет встречу с гражданами


События из мира компьютеров, программ и Интернета