НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Вирус Rakshasa скребет по "железу"

Валерий Васильев
14.08.2012 12:06:12

На конференции Black Hat французский исследователь в области информационной безопасности Джонатан Броссар рассказал о новом вирусе Rakshasa, способном заражать BIOS, CMOS и компрометировать систему на уровне «железа», не оставляя следов на жестком диске компьютера.

Как заявляют эксперты компании eScan, Rakshasa способен работать на более чем 200 моделях материнских плат и базируется на микропрограммах с открытым исходным кодом, предназначенных для замены проприетарных BIOS. Главное отличие новой вредоносной программы от других вирусов, атакующих BIOS, – возможность загрузки буткит-кода с уделенного сервера в оперативную память каждый раз при старте компьютера.

По словам руководителя экспертной группы eScan в России и СНГ Николая Ионова, особенная опасность таких вредоносных программ заключается в том, что компьютерная система остается скомпрометированной и после полной переустановки ОС, и для полного удаления следов вируса может понадобиться дорогостоящая процедура перепрошивки многих "железных" компонентов, включая материнские платы и сетевые карты, что в некоторых случаях может быть сопоставимо со стоимостью компьютера. Злоумышленники могут использовать аналогичные технологии для заражения компьютерных систем ещё на стадии поставки комплектующих, что делает обнаружение закладок крайне затруднительным.

Николай также отметил, что пока Rakshasa является лишь “лабораторной” разработкой, главная цель которой привлечь внимания не только к защите операционных систем и программ, но также и к безопасности “железа”, для чего необходимо тесное сотрудничество вендоров антивирусного ПО с производителями аппаратных средств и разработчиками прошивок.

Ну вот и наступил тот самый час "Ч", ради которого пару лет назад Intel купил ИБ-компанию McAfee?

Комментариев: 6

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Сергей Стельмах
14.08.2012 14:15:40

Вот випусы уже и до BIOS добрались smile:(

14.08.2012 16:32:33

BIOS - пройденный этап. А может ли данный вирус заражать EFI?

Iwan
16.08.2012 10:46:32

Вирус Win95.CIH, портящий BIOS, появился еще в 1998г. Хотя, конечно, в отличие от CIH, новый класс вирусов использует BIOS для хранения своих копий и распространения.

14.08.2012 14:23:34

"... Intel купил ИБ-компанию McAfee ..."

Серверные платформы Intel имеют большое распространение, поэтому отсутствие закладок в данных устройствах очень важно http://www.xakep.ru/post/58104

Николай Макаров
15.08.2012 22:49:51

А почему бы не использовать линукс? Ну и что с того, что вирус в биосе, как он взаимодействует при этом с основной ОС? Как он может навредить компу? Особенно, если просто тупо перепаять БИОС, взятый из программатора, который прошивает EEPROM с образца, взятого с новой матплаты такого же типа и серии?

Alex
24.08.2012 15:45:47

Код гипервизора 1-го типа минимален, потому запихать его в BIOS, а тем более в EFI - не сильно большая проблема - если флешки хватает. Ну а дальше - можно запустить OS в виртуальной машине, и полностью контролировать ее обращения к памяти, например (самый простой вариант). Ну а имея доступ к памяти, можно внедрить код куда угодно.
McAfee тут особо не причем, но вот реализация механизма "доверенной загрузки" может помочь. А этим Интел занимался задолго до McAfee smile:)

Обломится это в том случае, если на сервере, например, запускается другой гипервизор - но опять-же, код можно внедрить на этапе запуска инсталлятора, если не используется система автоматического деплоймента или SAN, где сервер с гипервизором может грузиться сразу. Но таких систем немного.
Сценариев множество, и рассматривать тут все - смысла нет.
А если действительно реализовать такой механизм с гипервизором... То это будет серьезная угроза большому количеству компьютеров. И антивирусы не помогут.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии