PCI cards the next haven for rootkits?
http://www.securityfocus.com/brief/360
Published: 2006-11-17
安全研究者 John Heasman 於本週發表一份報告,描述隱藏惡意程式碼在顯示卡與網路卡上的方法,在這種方式下可以避免被偵測到,而且可以在重新安裝作業系統後殘存下來。
這份報告(PDF 檔,http://tinyurl.com/ydjsnk)在週三發表,以 Heasman 在今年早先完成的成果為基礎,該成果指出有方法可以利用幾乎所有主機板都有的 Advanced Configuration and Power Interface (ACPI) 功能來儲存與執行 rootkit,甚至在重新開機之後都有效。(
http://www.securityfocus.com/news/11372)目前這份報告描繪出使用 PCI 卡(例如:顯示卡或網路卡)上的擴展記憶體(expansion memory)的方法。
Heasman 是 Next-Generation Security Software 的研究者,(http://www.ngssoftware.com/)他不相信這樣的技巧會變成司空見慣。
"(因為)很多人並沒有替 Windows 安裝修補程式,也沒有執行防毒軟體,因此惡意軟體作者目前沒有立即的需要轉而使用這些技巧來進行深度危害," 他在報告上寫道。"如果一位使用者偵測到惡意軟體,接著移除它,那裡還有大量沒料想自己會中獎的目標在網際網路上。"
Heasman 也在報告中描述了對付這種 rootkit 技巧的潛在防禦方式。經由對擴展記憶體以及系統記憶的審計,一位管理者將能夠在其他顯著的危險徵兆中找出令人起疑竇的混亂程式碼(obfuscated code),目前出現的 32 位元程式碼,以及奇怪的 class 程式碼。此外,使用 Trusted Computing Module(http://www.securityfocus.com/brief/137)的電腦來保護開機程序,也將對這種 rootkit 免疫他寫道。(http://www.securityfocus.com/news/11410)
※ 相關報導:
* 研究人員表示 Rootkits 瞄準 BIOS
* 微軟驅動程式 bug 導致雙核心耗能
* 新 DRM 賞 PC 與媒體中心擁有者一記耳光
* Rustock:完全隱身的新種 rootkit
* "藍藥丸" 創造出絕對無法被偵測的惡意軟體
* Sony rootkit 一案以和解收場
* Intel 開發硬體 rootkit 偵測晶片
