Производители достигли существенных успехов в защите операционных систем, исправлении уязвимостей памяти и других багов, которые могут приводить к удаленному исполнению кода или давать хакерам возможность незаметного присутствия на машине. И когда барьеры станут высоковаты для плохих парней, лучшие из них определенно станут искать другие пути в систему.

В некоторых случаях они пытаются атаковать аппаратуру, чаще всего BIOS и другие микропрограммы, загружающиеся при запуске системы. Успешные эксплойты на этом уровне могут дать злоумышленнику не только root-доступ уровня к компьютеру, но и устойчивость против большинства методов защиты.

Эксперты признают, что злоумышленники опережают исследователей, но теперь безопасники все чаще интересуются BIOS, и уже не просто с мимолетным любопытством.

«Я думаю, что мы наблюдаем возвращение интереса к этой области, так как становится очевидным, что столь непростые противники (например, государственного уровня) имеют технические возможности для разработки агентов, обитающих в BIOS», — сообщил Кори Т. Калленберг, исследователь из MITRE.

Калленберг вместе с коллегами из MITRE Ксено Кова и Джоном Баттервортом, а также исследователями из Intel Юрием Булыгиным и Джоном Лукайдесом потратил около четырех часов на конференции CanSecWest, объясняя риски, присущие этой дисциплине. Они рассказывали об инструментах, таких как Copernicus MITRE, позволяющих анализировать BIOS и его потомка UEFI для того, чтобы определять слабые места и что злоумышленники могут с ними сделать.

BIOS, по словам Калленберга, имеет высокий входной барьер для исследования и обратного инжиниринга, так как исходные коды для нее закрыты и очень сложны. Каждый производитель, например, имеет собственные особенности, что для исследователя означает большой объем работы только для того, чтобы понять, как работает BIOS системы. Это знание, как сказал Калленберг, не всегда подходит для BIOS другой системы.

«UEFI сделал обратный инжиниринг BIOS в чем-то проще, так как значительная часть микропрограмм платформы сейчас стандартизирована, — заявил Калленберг. — Несмотря на это, одной из серьезнейших сложностей работы в этой области остается отладка».

«Отладка BIOS требует дорогостоящего оборудования и серьезного знания работы электроники, — также сказал Калленберг. — Кроме того, в отличие от исследования обычного программного обеспечения, можно капитально сломать или «превратить в кирпич» свой компьютер, если эксперимент пойдет наперекосяк. Сочетание этих сложностей делает исследование микропрограммы нетривиальной задачей».

Злоумышленники тем временем используют буткиты или руткиты уровня ядра для создания вредоносного кода, который запускается при загрузке системы, например, из Master Boot Record. Эти атаки применяются уже не только государствами; наборы криминального ПО включают в себя опасные буткиты, такие как Rustock и TDSS. Как только зловред вцепится в систему на этом уровне, он, скорее всего, сможет обходить предустановленные проверки, атакуя дальше по цепи микропрограмм, и записывать код на жесткий диск по своему желанию.

«Злоумышленники сильно обошли защитников в этой области. Это так потому, что отрасль информационной безопасности редко развивается в направлении архитектурных уязвимостей, а обычно продвигается туда, где в данный момент имеется наиболее серьезная угроза, — сказал Калленберг. — Проблема также в том, что построение защиты требует глубоких знаний системы, а люди с такими знаниями в дефиците. Если бы коммерческая отрасль была достаточно мотивирована, они смогли бы работать совместно с поставщиками для проведения инспекций защищенности BIOS».

С запуском Windows 8 в 2012 году Microsoft начала требовать, чтобы чип Trusted Platform Module устанавливался на всех выпускающихся компьютерах с Windows. TPM отслеживает активность BIOS и UEFI, и, если происходят какие-либо изменения, которые могут производиться вредоносными программами, вместо данной микропрограммы используется ее чистая версия. Тем не менее, как сказал Калленберг, MITRE продемонстрировала, что TPM уязвим для атаки с повтором, когда злоумышленник повторно подсовывает TPM хэши, которые были признаны хорошими, что позволяет ему установить буткит, и при этом TPM будет считать, что все в порядке.

Есть еще одна область, где имеется существенное отставание в исследованиях и возможностях экспертизы. Так как TPM не может определить, хороши или плохи сделанные изменения, аналитику все еще нужен инструмент для исследования содержимого флеш-памяти экспертизы сделанных изменений в микропрограмме, чтобы определить, не были ли они вредоносными.

«Эта проблема с интерпретацией значений [TPM Platform Configuration Register] накладывается на тот факт, что OEM-производители не предоставляют клиентам «эталонных значений PCR», — сказал Калленберг. — Короче говоря, клиенты понятия не имеют, каковы должны быть значения PCR. Эта проблема делает крайне затруднительным обнаружение угроз при использовании TPM».

Категории: Вредоносные программы, Кибероборона, Уязвимости