Новый BIOS-имплантат и инструмент обнаружения уязвимостей дебютировали на CanSecWest
Когда среди множества откровений Сноудена был раскрыт каталог средств наблюдения подразделения ANT Агентства национальной безопасности США, его планы по внедрению зловредов в BIOS целевых машин стали бесспорны.
Хотя доказательств существования в природе BIOS-буткитов маловато, каталог ANT и недавнее раскрытие кибершпионской платформы группы Equation, в особенности модуля NSL_933W.DLL, который перепрошивает микропрограммы жестких дисков от крупнейших производителей, не оставляет сомнений касательно того, что атаки против «железа» уходят из академической плоскости в реальную жизнь.
На конференции CanSecWest, прошедшей в Ванкувере, исследователи Кори Калленберг (Corey Kallenberg) и Ксено Кова (Xeno Kovah), бывшие сотрудники MITRE и основатели стартапа LegbaCore, рассказали об исследовании новых уязвимостей BIOS и представили работающий руткит-имплантат для BIOS.
«Большинство BIOS имеют защиту от модифицирования, – рассказал Калленберг Threatpost. – Мы нашли способ автоматизировать обнаружение уязвимостей в этой области и взламывать эту защиту».
Калленберг заявил, что злоумышленнику нужен удаленный доступ к скомпрометированному компьютеру, чтобы запустить имплантат и повысить свои привилегии на машине через аппаратуру. Их эксплойт выключает имеющиеся средства защиты, служащие для предотвращения перепрошивки микропрограммы, что позволяет установить и запустить имплантат.
Хитрая часть их эксплойта состоит в том, что они нашли способ вставлять свой агент в режим системного управления (System Management Mode, SMM), который используется микропрограммой и работает отдельно от операционной системы, управляя различными аппаратными интерфейсами. Режим системного управления также имеет доступ к памяти, что ставит предположительно защищенные операционные системы, такие как Tails, под угрозу со стороны имплантата.
Tails – операционная система, сфокусированная на приватности и анонимности, которая загружается со съемных носителей, таких как USB-флешки.
«Идея в том, что если ОС скомпрометирована имплантатом, вполне можно использовать Tails для связи (все интернет-подключения работают через браузер Tor), так как она защищена от вредоносного ПО, которое поразило основную операционную систему, – сказал Калленберг. – Имплантат ждет, пока загрузится Tails, выуживает важные данные из памяти, и отправляет наружу. Наш агент работает в фоне, Tails его не видит».
Их имплантат, словам исследователей, может извлекать закрытый PGP-ключ, который Tail использует для шифрованной связи. Он также способен красть пароли и перехватывать шифрованные сообщения. Имплантат переживает переустановку ОС и даже встроенную защиту Tail, несмотря на ее способность очищать оперативную память.
«Мы храним данные в энергонезависимой памяти, и они не стираются, – сказал Калленберг. – Идея состоит в том, что бы всем стало очевидно, что эти приемы с защищенной загрузкой с диска архитектурно уязвимы перед атаками, которые приходят с уровня BIOS».
Кова заявил, что архитектурные изменения в последователе BIOS UEFI привнесли модульность, служащую для упрощения разработки. Но эта модульность, прописанная в открытом коде эталонной реализации UEFI, оставляет место эксплойтам. Прочем многие производители основывают свой код на эталонном.
Кова объяснил, что общий код имеется в вариантах BIOS разных производителей, и этот код делает возможным надежную установку имплантатов в устройствах различных марок и моделей.
«Открытый код эталонной реализации объясняет, как проходят данные, и в нем есть четко определенные места для передачи данных в BIOS, – сказал Кова. – Вы можете посмотреть в эталонный код для поиска паттернов и увидеть, что те же данные имеются в версиях с закрытым кодом. Эти общие точки определяют расположения для привязки».
Злоумышленник может внедрить код в эти расположения, как сказал Кова, и добавил, что до 100 моделей от пяти производителей содержат один и тот же код или его варианты.
«Благодаря этому вы можете надежно автоматизировать строковый поиск для привязки, разместить хуки, и вставить код», – сказал Кова.
По словам Ковы, хакер, преступник, или на государственной службе, также может заразить BIOS, получив физический доступ к компьютеру, например, при пересечении границы. В демонстрационном видео, предоставленном Threatpost, Кова, используя флеш-программатор DediProg, смог физически подключить соединительный кабель к BIOS и загрузить таким способом имплантат.
«Это можно применить при пересечении границы, атакой Evil Maid, или другими атаками с физическим вмешательством, – заявил он. – Если у вас есть доступ, это займет примерно две минуты после того, как вы найдете BIOS. Идея состоит в том, чтобы дать все это необученному человеку, дать ему цель, открыть компьютер, подключить и нажать старт. Перепрошивка чипа занимает около 50 секунд».
«Дело в том, что даже если вы думаете, что у вас хорошая защита, благодаря использованию Tails или отсутствию жесткого диска, это ничего не значит, – говорит Кова. – Две минуты физического доступа, и вы можете взломать любую ОС».
Ситуация не вполне мрачная. Исследователи отмечают, что производители проводят серьезную работу, закрывая уязвимости, о которых им сообщают, но им нужно улучшать практики безопасного программирования и вложить больше усилий в отражение эксплойтов.
«С течением времени и ростом стоимости эксплуатации из-за того, что баги постоянно устраняются и новые техники затрудняют эксплуатацию, атаки на BIOS становятся все более привлекательными из-за своей устойчивости в системе», – заявил Калленберг.
Источник: threatpost.ru
). 
