ファームウェアを狙うマルウェア、攻撃者にとっての利点は 24
ストーリー by hylom
時代はファームウェア 部門より
時代はファームウェア 部門より
taraiok 曰く、
CanSecWestセキュリティカンファレンスで、BIOSにマルウェアを組み込むツールについての研究が発表されるという(threatpost、Slashdot)。
このツールの特徴は、ファームウェアを更新してもマルウェアが削除されない点。ほとんどのBIOSでは、ファームウェア更新時も変更されずに保護されるブロックがある。研究者たちはそのスペースの脆弱性を見つけ出す機能を自動化し、保護を解除するツールを作り出したという。
BIOS内にマルウェアをインストールすることで、OSの再インストールやストレージの交換などを行ってもそのマルウェアは生き残ることができ、またBIOSという低レベルレイヤーで情報収集を行うことで暗号化などによる保護を無効化し、パスワードや暗号化通信をも盗むことができるといったメリットがあるという。
近年ではファームウェアとしてUEFIを採用したPCが増えているが、UEFIは開発を簡素化するためにオープンソース化およびモジュール化されていることもリスクにつながるという。複数のベンダで共通で利用されているコードを狙うことで、メーカーの垣根を乗り越えたマルウェアを作ることも可能だという。
BIOSの位置からは (スコア:2)
情報収集を行えるモノだったかな。
Re:BIOSの位置からは (スコア:1)
旧式のBIOSでは無理でもUEFIの場合UEFIの階層で提供される物理ドライバをOS上の論理ドライバから使う場合もあるので、一概には言えない。
Re: (スコア:0)
EFI boot servicesはわかるんですがruntime servicesは物理ドライバと呼べるようなモジュールありましたっけ?
対策 (スコア:1)
CPUに"署名されたコードしか実行しない仕組み"を組み込めばいい。
# そして、こんどはCPUのコード認証システムが狙われる…
notice : I ignore an anonymous contribution.
Camouflaged I/O Access Driver (スコア:1)
しかし、Firmware に紛れ込んだ不正なコードが、情報を改ざんしたり、漏洩させたりするためには、まずはそれが機密情報を検知出来なければいけません。
弊社の Camouflaged I/O Access Driver を導入いただくと、OS レベルで I/O アクセスを監視し、不正な firmware が機密情報を検知できないように隠蔽してデータをやり取りします。
また、firmware の振る舞いを監視することで、不正な firmware を検知することも可能です。
これらの機能により、被害を最小限に食い止めることが出来るのです。
お見積もりのご依頼はこちらまで。
Re:Camouflaged I/O Access Driver (スコア:1)
被害を微塵に食い止める
ってのを思い出したです
Re: (スコア:0)
そのドライバは、どの段階で読み込まれますか?
レノボの場合 (スコア:0)
はじめからBIOSにはバックドアが仕込まれています
Re: (スコア:0)
ところがバックドアに脆弱性があって、他国のバックドアが上書きされます
みたいな展開もアリ。
CIHウィルスってのがありましたなぁ。 (スコア:0)
UEFIあたりで知識と経験が失われて再度似たような穴が開いたんじゃないかねぇ。
Re: (スコア:0)
CHIウイルスはメモリ感染型だからちょっと違うんじゃないかな。
ところでMBRだかBIOSに感染して起動時に小ギャルが”N○Tチョーサイテー”って喋り捲るウイルス誰か知りません?
10年くらい前にXPで感染したんですが、なんてウイルスなのか分からないままなんで気になってるんですよね・・・
攻撃者にとっての利点 (スコア:0)
ホワイトハッカーのふりをして
関連講演やコンサルで荒稼ぎできるとか
セキュリティ対策製品が売れるとか
Re: (スコア:0)
普通にサイバー攻撃にも使えるんぢゃなくて?地球の裏側から原子力発電所をメルトダウンとかされたくないっしょ?
Linuxだから安全 (スコア:0)
というのが彼の口癖だった。
Re: (スコア:0)
一方、彼女はMacだから安全、と言った。
最近注目されてるけど (スコア:0)
そんな管理エリアのわずかな(?)領域に巣食った所で、どれほどの活動ができるんでしょうか?
ってのが疑問というか興味がある。
Re: (スコア:0)
UEFIの場合、場合によってはWebブラウザやメディアプレーヤーを組み込めるほどのエリアがありますので、やろうと思えば結構なことができたりするんです。
Re: (スコア:0)
「更新されない領域」がどの程度なのだろうか、それは小さく悪さするコードを置くのにも
小さすぎるのではというのが2783504の興味じゃないかと。書き換えられる領域はそもそも大きいのは前提で。
で、そもそものタレこみのこの「書き換えられない」という部分が元記事では特に言ってないことを書いてると思う。
元記事は、BIOSには書き換え保護機能があるけどそれを無効化できるソフトウエア上の脆弱性があり、
それが共通コードに由来しているので複数BIOSベンダ間の製品に共通に使える攻撃方法が実現できたってことを言っている。
BIOS更新しても「書き換えられない領域」の話は特にしてないと思うな。
それにBIOSを乗っ取ったのだからBIOSの自己書き換えコードをmalware部分が上書きされないように改変しておけば
書き換えられない領域は好きなように作り出せる
Re: (スコア:0)
そこまで必要ない
NASのLinux化見たいに
最低限必要な部分だけその領域に置き
後はストレージを見に行けばいい
無くなってたらネットから落としてくるように
バッチでも仕込めばいい
実体を狭い領域に押し込む必要はないので
コアとスクリプトだけで十分です
Re: (スコア:0)
ブートコードに順々に乗っていき、最後にrootkitがカーネルに入れればいいんです
加えて、何か読み込め、くらいは書けるでしょう
アンチウィルスソフト会社 (スコア:0)
\ __ /
_ (m) _ ピコーン
|ミ|
/ `´ \
( ゚∀゚) BIOSに入れ(させ)よう!
ノヽノ |
あ
Re: (スコア:0)
IntelとIntel Security(マカフィー)がやろうとしていることがそれですよね。
ダイナブックが危険 (スコア:0)
ヒューレットパッカードHPと、富士通ダイナブック(ノート)シリーズは全台脆弱性があるという事だな。
狙われるWindows Update (スコア:0)
Windows Updateをしたら、マウスポインタをIEメニューバーに合わせるとIEのURLボックスに表示されているURLのフォントがグレーに変化し、しかもフォントも微妙に小さくなったりと不安定になった。
Windows7 Microsoft.NET Framework 4.5.2 KB2901983
KB3035583
をインストールすると通常ダブルクリックで開くファイルがワンクリックで開くようになりシステム改竄されたんでアンインストールしたがどうなるやら。しかも最新のAdobe ReaderとFlash Playerでそれに拍車がかかる。