Успешные атаки на микропрограммы редки, но они обеспечивают хакерам заветную возможность — устойчивое заражение.

Инициаторы APT-атак уже повысили свои шансы на проникновение в BIOS и EFI, об этом свидетельствуют раскрытые Сноуденом документы с описанием попыток АНБ создать вредоносные импланты для BIOS. Кроме того, в прошлом году «Лаборатория Касперского» опубликовала результаты анализа вредоносной платформы, используемой APT-группой Equation для шпионажа. Эксперты также изучили применяемый Equation модуль стойкости, предназначенный для атак на прошивки ряда ведущих вендоров аппаратных средств.

Все эти находки наглядно показывают, насколько изобретательными могут быть атакующие в своем стремлении получить скрытное и постоянное присутствие на целевых машинах. И такие возможности имеются не только у высокопоставленных хакеров. Прошлогодний взлом Hacking Team позволил выявить, что у этого продавца средств слежки был в запасе руткит для UEFI BIOS.

«Белые» хакеры тоже присматриваются к BIOS и UEFI и уже начали создавать инструменты для противодействия BIOS-руткитам.

На днях к этой армии исследователей присоединился бесплатный онлайн-сервис VirusTotal, на котором была введена проверка для файлов микропрограмм. «Отныне VirusTotal будет представлять подробную характеристику образа микропрограмм, легитимных и вредоносных», — пишет в своем анонсе команда, работающая в составе Google.

Отчеты, опубликованные на VirusTotal в качестве примера, содержат результаты сканирования файлов, поданных на проверку, а также информацию о вендорах аппаратуры. Такие данные полезны, они позволяют определить, привнесен ли конкретный файл в ходе поставок или прошивка была взломана хакером.

«Наибольший интерес, как мне кажется, представляет извлечение PE-файлов UEFI, составляющих образ, поскольку это исполняемый код, который потенциально может быть вредоносным, — отметил Франсиско Сантос (Francisco Santos) из VirusTotal. — Эти исполняемые файлы извлекаются и подаются на VirusTotal по отдельности, с тем чтобы пользователь собрал все отчеты и получил представление: есть в его BIOS-образе что-то подозрительное или нет. Помимо этого наш инструмент позволяет узнать, какие из этих PE ориентированы на Windows, то есть будут работать на самой ОС Windows, а не на псевдо-ОС, предоставляемой UEFI».

По свидетельству VirusTotal, новый инструмент поддерживает следующие функции:

  • детектирование и выдачу результатов для Apple Mac BIOS;
  • эвристическое определение брендов на основе строк кода, для выявления целевых систем;
  • извлечение сертификатов из прошивки, образа и исполняемых файлов;
  • перечисление кодов класса согласно спецификации PCI, позволяющее идентифицировать класс устройства;
  • извлечение тэгов таблиц ACPI;
  • перечисление имен переменных nVAR;
  • опциональное извлечение из ПЗУ, декомпиляцию точки входа и листинг функций PCI;
  • извлечение PE-файлов BIOS и идентификацию потенциально исполняемых кодов Windows, включенных в образ;
  • предоставление сведений о SMBIOS.

Сантос также отметил, что современный инструментарий вполне позволяет сделать дамп BIOS и представить его на проверку в VirusTotal. До подачи эксперт рекомендует организациям удалить конфиденциальную информацию, в частности пароли.

Категории: Вредоносные программы, Кибероборона