Сегодня завершается всемирно известная конференция специалистов по информационной безопасности Black Hat 2009 (Лас-Вегас, США). В связи с этим стали доступны слайды экспертов команды Invisible Things Lab (на английском языке).
Александр Терешкин и Рафаль Войтчук расскрывали следующие темы:
1. Знакомство с руткитами кольца -3-го уровня (ориг.: Introducing «Ring -3» rootkits).
2. Атакуем Intel BIOS (ориг.: Attacking Intel BIOS).
В этой презентации продемонстрированы результаты исследований о том, как вредоносное ПО может использовать технологию Intel AMT (часть бренда vPro), чтобы тайно взять контроль над машиной.
Технология Intel AMT предоставляет привлекательные возможности для злоумышленника: код AMT выполняется независимым процессором, который располагается в чипсете (vPro-совместимый MCH), память AMT отделена от памяти хоста (изоляция обеспечивается чипсетом), у кода AMT имеется специальный линк на сетевую карту (независимо от хостовой ОС и драйверов), и, наконец, AMT остаётся в активном состоянии даже тогда, когда компьютер находится в спящем режиме (S3).
В работе показано, как вредоносное ПО может обойти AMT'шную защиту памяти и, как следствие, скомпрометировать код AMT, выполняемый на чипсете. Дополнительно раскрываются приёмы, использовавшиеся для реверс-инжиниринга AMT'шного кода. Они были нужны для создания руткитов, которые могут иметь доступ к хостовой памяти (руткит выполняется на чипсете, но имеет полный доступ к хостовой ОС, — например, Windows).
Данное исследование подчёркивает необходимость более детального исследования безопасности основных системных компонентов, включая микропрограммы (firmware) и аппаратное обеспечение.
Слайды: invisiblethingslab.com/resources/bh09usa/Ring%20-3%20Rootkits.pdf
Код: в ближайшем будущем
В этой презентации обсуждается и демонстрируется, как перепрошить Intel BIOS на десктопных системах, базирующихся на последнем микрочипе Intel Q45.
Данная работа нацелена на наиболее безопасные vPro-совместимые BIOS'ы, которые позволяют использовать только те прошивки, что имеют цифровую подпись от поставщика. В работе демонстрируется, как обойти эту проверку с помощью эксплоита, использующего сложное переполнение кучи.
Для проведения атаки понадобятся права администратора, а также одна перезагрузка. Выполнение каких-либо определённых действий или согласие от пользователя не потребуются, равно как и физический доступ к машине.
Эта атака подчёркивает важность других средств обеспечения надёжной загрузки (например, TPM), а также важность более детального исследования основного системного ПО и микропрограм (firmware).
Слайды: invisiblethingslab.com/resources/bh09usa/Attacking%20Intel%20BIOS.pdf
Код: в ближайшем будущем
Александр Терешкин и Рафаль Войтчук расскрывали следующие темы:
1. Знакомство с руткитами кольца -3-го уровня (ориг.: Introducing «Ring -3» rootkits).
2. Атакуем Intel BIOS (ориг.: Attacking Intel BIOS).
Знакомство с руткитами кольца -3-го уровня
В этой презентации продемонстрированы результаты исследований о том, как вредоносное ПО может использовать технологию Intel AMT (часть бренда vPro), чтобы тайно взять контроль над машиной.
Технология Intel AMT предоставляет привлекательные возможности для злоумышленника: код AMT выполняется независимым процессором, который располагается в чипсете (vPro-совместимый MCH), память AMT отделена от памяти хоста (изоляция обеспечивается чипсетом), у кода AMT имеется специальный линк на сетевую карту (независимо от хостовой ОС и драйверов), и, наконец, AMT остаётся в активном состоянии даже тогда, когда компьютер находится в спящем режиме (S3).
В работе показано, как вредоносное ПО может обойти AMT'шную защиту памяти и, как следствие, скомпрометировать код AMT, выполняемый на чипсете. Дополнительно раскрываются приёмы, использовавшиеся для реверс-инжиниринга AMT'шного кода. Они были нужны для создания руткитов, которые могут иметь доступ к хостовой памяти (руткит выполняется на чипсете, но имеет полный доступ к хостовой ОС, — например, Windows).
Данное исследование подчёркивает необходимость более детального исследования безопасности основных системных компонентов, включая микропрограммы (firmware) и аппаратное обеспечение.
Слайды: invisiblethingslab.com/resources/bh09usa/Ring%20-3%20Rootkits.pdf
Код: в ближайшем будущем
Атакуем Intel BIOS
В этой презентации обсуждается и демонстрируется, как перепрошить Intel BIOS на десктопных системах, базирующихся на последнем микрочипе Intel Q45.
Данная работа нацелена на наиболее безопасные vPro-совместимые BIOS'ы, которые позволяют использовать только те прошивки, что имеют цифровую подпись от поставщика. В работе демонстрируется, как обойти эту проверку с помощью эксплоита, использующего сложное переполнение кучи.
Для проведения атаки понадобятся права администратора, а также одна перезагрузка. Выполнение каких-либо определённых действий или согласие от пользователя не потребуются, равно как и физический доступ к машине.
Эта атака подчёркивает важность других средств обеспечения надёжной загрузки (например, TPM), а также важность более детального исследования основного системного ПО и микропрограм (firmware).
Слайды: invisiblethingslab.com/resources/bh09usa/Attacking%20Intel%20BIOS.pdf
Код: в ближайшем будущем
