-
добавить в избранное
Пока ОС загружается…
22 мая 2017
Работаю системщиком и когда какая-нибудь тетка пенсионного возраста,
которая модем от мопеда не отличит,
после устранения проблемы с ее компом спрашивает меня с умным видом
«Ну че там было?», вы думаете я ей буду объяснять суть сложного комплексного сбоя?
Да мне легче буркнуть в ответ что-то вроде «вирус» и пофиг что там она будет дальше рассказывать о злобной компьютерной заразе, которая сломала ее компьютер.
http://computia.ru/boremsya-s-virusami/chto-ne-mozhet-virus-ili-mify-o-kompyuternyx-virusax
В этом выпуске мы продолжаем рассказ о редких возможных компьютерных напастях. Сегодня речь пойдет о заражении BIOS или загрузочных записей жестких дисков. Начнем с BIOS.
BIOS – это программное обеспечение, непосредственно зашитое в момент производства в материнскую плату вашего компьютера. Оно запускается сразу после включения питания – и до начала загрузки операционной системы. В частности, BIOS обеспечивает начальную диагностику найденного оборудования, обнаруживает имеющиеся жесткие диски и считывает с них информацию для начала загрузки ОС.
Именно логотип BIOS мы видим до начала загрузки нашей ОС.
Вирусописатели обратили внимание на функции BIOS еще во времена операционных систем DOS (MS-DOS и аналогичных). Дело в том, что BIOS в числе прочего содержит код прерываний – системных функций, обеспечивающих низкоуровневое взаимодействие операционных систем и оборудования. В частности, прерывание 13h отвечает за взаимодействие с жестким диском – посекторное чтение/запись информации.
Перехват этого прерывания (наряду с иными) позволил злоумышленникам создать так называемые загрузочные вирусы – восстанавливающиеся при загрузке ОС и невидимые для пользователя.
ОС Windows не использует векторы прерываний BIOS (обнуляет их таблицу в начале загрузки и игнорирует ее в дальнейшем) при загрузке своих компонентов, начиная с загрузки ядра, поэтому перехват прерываний BIOS для вредоносных программ сейчас менее актуален. Единственное, что можно сделать посредством прерывания 13h, – прочитать или перезаписать произвольный сектор на диске до загрузки ОС.
В 2011 году специалисты «Доктор Веб» зафиксировали по-своему уникальный руткит, получивший название Trojan.Bioskit.1. Его особенность – в том, что он инфицирует BIOS персональных компьютеров, причем только если на ПК установлен BIOS производства компании Award Software. Позже были выявлены попытки распространения еще одной модификации Trojan.Bioskit, однако из-за ошибок в коде эта версия троянца не представляет серьезной угрозы.
Получить доступ и тем более перезаписать микросхему с BIOS — задача нетривиальная. Для этого сначала необходимо организовать взаимодействие с чипсетом материнской платы для разрешения доступа к чипу, затем нужно опознать сам чип и применить знакомый для него протокол стирания/записи данных. Но автор этой вредоносной программы пошел более легким путем, переложив все эти задачи на сам BIOS. Он воспользовался результатами работы китайского исследователя, известного под ником Icelord. Работа была проделана еще в 2007 году: тогда при анализе утилиты Winflash для Award BIOS был обнаружен простой способ перепрошивки микросхемы через сервис, предоставляемый самим BIOS в SMM (System Management Mode). Программный код SMM в SMRAM не виден операционной системе (если BIOS корректно написан, то доступ к этой памяти им заблокирован) и исполняется независимо от нее.
Кстати, упомянутый SMM – весьма интересная вещь. Режим системного управления (англ. System Management Mode, SMM) — режим, при котором приостанавливается исполнение другого кода (включая код операционной системы) и запускается специальная программа – в наиболее привилегированном режиме. Как всегда, задумывался режим в благородных целях – его использование позволяет обрабатывать ошибки памяти и чипсетов, а также выключать процессор при перегреве. Но он позволил также обходить встроенные в ОС системы защиты и запускать руткиты. Код, работающий в режиме SMM, получает неограниченный доступ ко всей системной памяти, включая память ядра и память гипервизора.
Rakshasa полностью заменяет собой BIOS компьютера, выполняя начальную инициализацию аппаратного обеспечения средствами Coreboot, эмулирует пользовательский интерфейс BIOS’а с помощью SeaBios, инициализирует возможности сетевой загрузки и удаленного контроля по каналам LAN, WIFI, WIMAX, LTE с помощью iPXE и в дальнейшем загружает буткит Kon-boot с целью модификации переменных ядра ОС Windows и Linux.
Rakshasa обладает встроенными возможностями осуществлять следующие атаки:
- Отмена SMM-защиты. Отсутствие такой защиты позволяет запустить вредоносную программу с приостановкой исполнения другой программы. Такой процесс получает привилегии суперпользователя-администратора в операционной системе, который может изменять любые настройки и модифицировать все файлы, находящиеся на этом компьютере.
- Удаление NX бита BIOS – атрибут аппаратного запрета выполнения кода на странице памяти. Это позволяет выполнить вредоносный код, что, в свою очередь, позволяет получить удаленное управление компьютером, обходя систему паролей операционной системы.
- Отключение ASLR-рандомизации – технологии случайного расположения кода и данных важных процессов в адресном пространстве. ASLR-рандомизация затрудняет для атакующего выполнение произвольного вредоносного кода, так как адрес уязвимой структуры процесса ему неизвестен. С отключенной ASLR серьезно упрощается взлом любой операционной системы.
- Получение паролей средств шифрования TrueCrypt/BitLocker с помощью подмены поля ввода пароля. Далее с использованием эмуляции ввода с клавиатуры средствами BIOS, данные расшифровываются и могут быть скопированы или изменены.
- Модификация файловой системы до загрузки ОС с целью активация режимов удаленного администрирования и заражения вирусами.
Rakshasa:
- Имеет возможность загрузки отдельных модулей или даже целых образов ОС с использованием беспроводных технологий WIFI и WIMAX, что позволяет обойти сетевые экраны и скомпрометировать всю компьютерную сеть.
- Обладает средствами восстановления после перепрошивки BIOS и переустановки операционной системы, используя заранее записанный образ вируса на любое PCI устройство, например, сетевую карту, контроллер SATA и даже плату доверительной загрузки.
- Может преодолевать аппаратные средства доверительной загрузки, так как до их инициализации выполняется микропрограмма материнской платы.
Типичным сценарием заражения вирусом Rakshasa является доступ к аппаратной части компьютера и осуществление загрузки вируса со съемного носителя на любом из этапов поставки комплектующих. Фактически, новый компьютер уже может оказаться скомпрометированным.
Антивирусная правДА! рекомендует
Стать жертвой вредоносных программ, подобных вышеописанным, на данный момент маловероятно. Но это не исключено, если вы, например, работаете с данными, интересующими конкурентов. Вредоносный код может очутиться в системных областях по двум причинам:
- наличие уязвимостей;
- желание компании-производителя или ее поставщика дополнительно заработать – например, продавая персональные данные пользователей.
В связи с этим:
- Не стоит пренебрегать обновлениями для BIOS. Они могут не только исправлять ошибки, но и препятствовать внедрению вредоносных программ (в том числе использующих режим SMM).
- Если что-то куда-то может быть записано, то оно может быть и обнаружено. Не стоит верить голословным заявлениям о том, что «новейший троянец не обнаруживается антивирусами», если это не подтверждено представителями известных антивирусных компаний. Если о вредоносной программе написали СМИ и она действительно существует, то клиенты уже осаждают своих поставщиков с целью получения защиты – а такой факт игнорировать не может никто.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
13:54:18 2018-08-03
Неуёмный Обыватель
02:50:24 2018-07-04
alex-diesel
14:14:59 2018-04-18
vasvet
20:54:02 2018-03-27
Toma
16:08:12 2018-02-12
razgen
23:27:07 2017-11-11
Alexander
22:56:21 2017-11-11
Прочитал на сайте Securitylab статью "Уязвимость в антивирусах позволяет вредоносному ПО добиться персистентности на системе". Автор информирует, что "В ряде антивирусных продуктов обнаружена уязвимость, позволяющая вредоносному ПО или локальному атакующему с помощью функции восстановления из карантина переместить обнаруженное антивирусом вредоносное ПО в чувствительную часть операционной системы". Названы антивирусные продукты некоторых известных производителей.
Очень порадовало, что в числе уязвимых не названы продукты компании Dr.Web.
Но удивила хитрая изворотливость преступного интеллекта вирусописателей.
Ознакомиться со статьей можно по ссылке http://www.securitylab.ru/news/489640.php
Полагаю, что участника АП это будет интересно.
Littlefish
19:46:59 2017-05-31
Вячeслaв
10:41:03 2017-05-31
Касательно сканирования файлов до загрузки операционной системы. Ну добавим мы эту возможность - а обновления откуда брать? Машина на ночь выключена, базы лежат на диске и устарели на 15 часов минимум (а то и на 63 часа) и толку с них? Гораздо лучше настроить загрузку по сети актуального образа с обновлениями. Делается это стандартными средствами сетевых карт, а образ точно будет актуален.
Littlefish
00:00:29 2017-05-31
А с обновлением BIOS согласен с пользователем Cheshek - как можно быть уверенным, что скачанный даже с официального сайта биос не будет повреждённым и не будет содержать вредоносных добавок.
А ещё, есть момент для тех, у кого нет источника бесперебойного питания для компьютера, ведь если во время обновления биоса пропадёт электричество, то могут возникнуть проблемы с загрузкой компьютера.
Любитель пляжного футбола
19:47:48 2017-05-29
AntonIT
11:12:05 2017-05-29
Stan
13:02:13 2017-05-24
forrus
12:49:56 2017-05-24
Cheshek
11:50:04 2017-05-23
dyadya_Sasha
23:38:24 2017-05-22
solec
22:59:00 2017-05-22
Б...а
22:51:54 2017-05-22
Zevs_46
22:41:58 2017-05-22
Nikodim2011
22:38:02 2017-05-22
aleks_ku
21:53:08 2017-05-22
НинаК
21:48:01 2017-05-22
В...а
21:37:04 2017-05-22
vla_va
21:26:30 2017-05-22
Dvakota
21:24:16 2017-05-22
ek
20:52:35 2017-05-22
orw_mikle
20:26:19 2017-05-22
kva-kva
20:22:20 2017-05-22
mk.insta
20:06:41 2017-05-22
Геральт
17:08:46 2017-05-22
razgen
16:19:11 2017-05-22
Viktoria
16:01:26 2017-05-22
iAFC
15:53:56 2017-05-22
ada
15:53:31 2017-05-22
Zulfat
14:43:38 2017-05-22
Шалтай Александр Болтай
14:36:43 2017-05-22
Alexander
13:19:20 2017-05-22
Пaвeл
13:18:19 2017-05-22
a13x
12:53:49 2017-05-22
Sapfir
11:57:04 2017-05-22
krant
11:53:50 2017-05-22
Вячeслaв
11:40:52 2017-05-22
maxtat
10:23:40 2017-05-22
Спасибо за статью.
Sasha50
09:40:57 2017-05-22
marisha-san
08:47:11 2017-05-22
Ок.
Влад
08:37:48 2017-05-22
user
08:32:19 2017-05-22
maestro431
08:22:24 2017-05-22
Анатолий
08:16:42 2017-05-22
kozinka.ru
08:13:33 2017-05-22