Новое вредоносное ПО Rakshasa способно скомпрометировать целевую систему при загрузке, не оставляя следов на жестком диске.
Согласно заявлению исследователя информационной безопасности Джонатана Броссарда (Jonathan Brossard), ему удалось создать POC-код для бэкдора, способного переписать BIOS и скомпрометировать операционную систему компьютера во время процесса загрузки, не оставляя следов на жестком диске. Об этом сообщает Computerworld.
Броссард, являющийся генеральным директором французской антивирусной компании Toucan System, продемонстрировал действие своего вредоносного приложения Rakshasa в ходе выступлений на конференциях Defcon и Black Hat.
Отметим, что вредоносное приложение, получившее свое название в честь демона из индуистской мифологии, является не первым примером вредоносного ПО, созданного для проведения атаки на BIOS. Тем не менее, оно является уникальным из-за использования новых методов атаки, позволяющих увеличить устойчивость Rakshasa к антивирусам и понизить шансы обнаружения.
В ходе атаки вирус заменяет BIOS материнской платы, но способен также инфицировать прошивку других периферийных устройств, в том числе сетевой карты или CD привода.
В ходе своего выступления Броссард подчеркнул, что Rakshasa был создан на базе программного обеспечения с открытым исходным кодом. В частности использовалась комбинация ПО Coreboot и SeaBIOS, являющихся альтернативными продуктами, работающими на различных материнских платах от многих производителей. Кроме того, был использован код прошивки для загрузки по сети от компании iPXE.
Все эти компоненты были модифицированы таким образом, чтобы вирус не выдавал своего присутствия на системе во время процесса загрузки. Так, Coreboot способен использовать пользовательские заставки для имитации некоторых BIOS-ов.
Кроме того, по словам Броссарда, вирус способен самостоятельно восстанавливать себя на зараженной машине. Это возможно из-за особенностей современной архитектуры компьютера, которая предоставляет каждому периферийному устройству равные права доступа к оперативной памяти.
«CD привод может очень хорошо контролировать сетевую карту», - пояснил эксперт.
Это значит, что даже после восстановления исходного BIOS-а, вредоносная прошивка, хранящаяся на сетевой карте или CD приводе, способна заново инфицировать систему.
По словам Броссарда, создавая Rakshasa, он хотел доказать, что подобные бэкдоры являются практичными и могут быть установлены на ПК в ходе его доставки до конечного потребителя. Он также отметил, что большинство компьютеров, в том числе Mac, были изготовлены в Китае, и проследить за процессом производства комплектующих зачастую невозможно.
Также исследователь сообщил, что удаленные атаки при помощи Rakshasa не являются практичными, поскольку атакующему предварительно необходимо будет получить системные привилегии. Более того, некоторые PCI устройства имеют физический переключатель, положение которого должно быть изменено перед прошивкой.
Неуловимость вируса обеспечивается тем, что прошивка iPXE, работающая на сетевой карте, загружается до операционной системы и способна заразить ее до запуска антивирусных продуктов.
Ряд известных вредоносных программ хранят код буткита на жестком диске в физических секторах для главной загрузочной записи (master boot record, MBR), что делает его легким для обнаружения специалистами по компьютерной криминалистике. Rakshasa использует iPXE прошивку для загрузки буткита с удаленного компьютера и загружает его в память при каждой загрузке компьютера.
«Мы никогда не затрагиваем файловую систему», - подчеркнул Броссард. Так, если отдать жесткий диск на экспертную проверку, вирус обнаружен не будет.
После того, как буткит внес вредоносные изменения в ядро операционной системы, он может быть выгружен из памяти. Это значит, что анализ оперативной памяти компьютера также может оказаться бесполезным.
Ознакомиться с подробными пояснениями Броссарда можно здесь .
Сбалансированная диета для серого вещества