Французская ИБ-компания Toucan System представила на конференции Defcon концепт аппаратного бэкдора Rakshasa, способного подменить собой BIOS компьютера и скомпрометировать операционную систему во время ее загрузки без каких-либо следов на жестком диске компьютера. Rakshasa - это не первый образец вредоносного программного обеспечения, атакующего BIOS компьютера на уровне системной прошивки материнской плат. Однако в отличие от ранее созданных вредоносов, новинка использует ряд новых трюков, затрудняющих ее детектирование и удаление. Rakshasa заменяет собой BIOS на материнской плате и фактически берет на себя системную инициализацию аппаратных компонентов компьютера. Базируется Rakshasa на открытом программном обеспечении и заменяет родную версию BIOS компьютера экзотической комбинацией открытых реализация BIOS Coreboot и SeaBIOS, что позволяет ему работать на различных материнских платах от разных производителей, он также переписывает компоненты iPXE, ответственные за сетевую загрузку компьютера или сервера (располагается в некоторых моделях сетевых карт). Эксперты Toucan System утверждают, что при модификации любой из этих прошивок любые антивирусы, работающие на уровне операционной системы, ничего не заподозрят и вредоносный код избежит обнаружения, при этом, сам вредоносный код без проблем сможет перехватывать данные, слушать целевой трафик и проводить другие операции. За счет использования кодов Coreboot авторы кода даже могут создать модифицированный приветственный экран, чтобы пользователь также ничего не заподозрил при включении компьютера. "При модификации всех этих компонентов современные компьютеры не выдают никаких предупреждений или оповещений со стороны системы, что позволяет Rakshasa совершенно незаметно проникать в систему и подменять почти любые прошивки компонентов. Большинство современных системных прошивок созданы по единому подходу, что позволяет нам писать стандартизированный компонент для всех узлов", - заявили в Toucan System. Многие современные материнские платы имеют два блока хранения BIOS и иных управляющих систем. Rakshasa может заразить один, тогда как во втором сохранится оригинальная версия. Технически, пользователь должен понимать что такое BIOS и как происходит его обновление, чтобы восстановить оригинальный BIOS, поэтому для большинства пользователей заражение Rakshasa фактически означает безвозвратную потерю BIOS. В будущем Toucan System намерена развивать концепцию Rakshasa, чтобы концептуальный код получил возможность удаленного сетевого обновления, работы через HTTPS и FTP. 30/07/2012 12:41 http://uinc.ru/news/sn18569.html
Экспериментальный бэкдор Rakshasa способен выступать в роли BIOS Генеральный директор французской ИБ-компании Toucan System Джонатан Броссар говорит о создании концептуального аппаратного бэкдора Rakshasa, способного подменить собой BIOS компьютера и скомпрометировать операционную систему во время ее загрузки без каких-либо следов на жестком диске компьютера. Броссар продемонстрировал новый код в минувший уик-энд на конференции Defcon в США. Ранее упрощенная версия данного кода была представлена в рамках закрытой презентации на конференции Black Hat. Отметим, что Rakshasa - это не первый образец вредоносного программного обеспечения, атакующего BIOS компьютера на уровне системной прошивки материнской плат. Однако в отличие от ранее созданных вредоносов, новинка использует ряд новых трюков, затрудняющих ее детектирование и удаление. Rakshasa заменяет собой BIOS на материнской плате и фактически берет на себя системную инициализацию аппаратных компонентов компьютера. Вдобавок к этому, Rakshasa способен заражать прошивку PCI или другие периферийные устройства (при наличии поддерживаемого формата прошивки), чтобы достичь избыточного уровня работоспособности. Базируется Rakshasa на открытом программном обеспечении и заменяет родную версию BIOS компьютера экзотической комбинацией открытых реализация BIOS Coreboot и SeaBIOS, что позволяет ему работать на различных материнских платах от разных производителей, он также переписывает компоненты iPXE, ответственные за сетевую загрузку компьютера или сервера (располагается в некоторых моделях сетевых карт). Броссар говорит, что при модификации любой из этих прошивок любые антивирусы, работающие на уровне операционной системы, ничего не заподозрят и вредоносный код избежит обнаружения, при этом, сам вредоносный код без проблем сможет перехватывать данные, слушать целевой трафик и проводить другие операции. За счет использования кодов Coreboot авторы кода даже могут создать модифицированный приветственный экран, чтобы пользователь также ничего не заподозрил при включении компьютера. "При модификации всех этих компонентов современные компьютеры не выдают никаких предупреждений или оповещений со стороны системы, что позволяет Rakshasa совершенно незаметно проникать в систему и подменять почти любые прошивки компонентов. Большинство современных системных прошивок созданы по единому подходу, что позволяет нам писать стандартизированный компонент для всех узлов", - говорит Броссар. По его словам, многие современные материнские платы имеют два блока хранения BIOS и иных управляющих систем. Rakshasa может заразить один, тогда как во втором сохранится оригинальная версия. Технически, пользователь должен быть довольно продвинутым, чтобы восстановить оригинальный BIOS, поэтому для большинства пользователей заражение Rakshasa фактически означает безвозвратную потерю BIOS. Броссар говорит, что по этическим соображениям его компания не будет размещать в открытом доступе Rakshasa, но предоставит к нему доступ производителям компьютерной периферии, чтобы те могли воочию убедиться, как НЕ надо делать системные прошивки. В будущем Toucan System намерена развивать концепцию Rakshasa, чтобы концептуальный код получил возможность удаленного сетевого обновления, работы через HTTPS и FTP. Подробное описание кода доступно по адресу http://www.toucan-system.com/research/blackhat2012_brossard_hardware_backdooring.pdf (09:48) 30.07.2012 http://cybersecurity.ru/crypto/156450.html
Перемычку надо ставить\снимать, которая блокирует запись на уровне чипа, и не будет подобной ерунды. Почти все материнки ей оборудованы. Хотя юзер в среднем настолько глуп, что до сих пор открывает "голая_Маша.ехе" из почты, а тут какая-то перемычка лол.
Не знаю как на ширпотребе, а у меня на всех офисных десктопах (HP, Lenovo) она есть. Там модели начиная с Р3 и до i5. На двух домашних, c2d и Р4, тоже есть. Так что не все так плохо.
Китайцы уже давно как делают бэкдоры, а пихают в материнские платы. Никакая смена БИОСа не помогает, встраивают бэкдоры в микросхемы. Пруфом кидаться не буду, но в этом году читал интересную статью на эту тему