http://www.securityfocus.com/news/11372?ref=rss
Robert Lemos, SecurityFocus 2006-01-26
內部攻擊以及工業間諜活動可能會變得更加鬼鬼祟祟。他們藉由主機板的快
閃記憶體當中所提供的核心系統函數,來隱藏惡意程式,研究人員在週三的
Black Hat Federal 研討會上做出如上表示。(相關的簡報可以在此下載:
http://www.blackhat.com/presentations/bh-federal-06/BH-Fed-06-Heasman.pdf)
根據英國 Next-Generation Security Software 的主要安全顧問,John
Heasman 表示,一堆來自於電源管理的功能,亦即 Advanced
Configuration and Power Interface (ACPI),擁有他自己的高階直譯語言
,可用來編寫 rootkit,並且儲存關鍵的攻擊功能到 BIOS 的快閃記憶體當
中。
研究人員測試了基本的功能,例如提高權限,或是讀取物理記憶體,使用惡
意的程序來取代儲存於快閃記憶體中的函數。
Heasman 表示:"Rootkits are becoming more of a threat in
general--BIOS is just the next step." "While this is not a threat
now, it is a warning to people to look out." (未來的 rootkit 很可
能會瞄準 BIOS)
當安全專家愈來愈擔憂 rootkits 時
(http://www.securityfocus.com/news/11300),這項擔憂又到來。在本月
早期,一個安全研究人員警告,數位版權管理軟體,該研究人員表示它像一
個 rootkit,由 Sony BMG 所使用,現在依然在成千上百的 server 上流竄
(http://www.securityfocus.com/news/11369)。去年 Mac OS X 第一個
rootkit (http://www.securityfocus.com/news/11359) 也現身在網際網路
上。
然而一些攻擊者已經試圖要影響一台電腦的快閃記憶體,最著名的就是
1998(台灣的)CIH,或稱為車諾比病毒,而能夠利用高階程式語言建立
ACPI 函數,為更多程式人員開啟了攻擊的方便之門。
一位 rootkit 專家在研討會上預言,這項技術將在不久的未來會變成
rootkits 的 "基本功"。
逆向工程公司 HBGary 的 CEO 以及 Rootkit.com 的編輯 Greg Hoglund 表
示:"It is going to be about one month before malware comes out
to take advantage of this."(一個月內就會有人利用它來為非作歹)
"This is so easy to do. You have widely available tools, free
compilers for the ACPI language, and high-level languages to
write the code in."(要辦到真是太容易了)
這個韌體在現代的主機板上針對硬體指令擁有一個 Table,該 Table 與
ACPI Machine Language (AML) 指令相關。新的功能可以用高階的 ACPI
Source Language (ASL) 來編寫,然後編譯成機器語言,然後寫入到Table
當中。
然而,這項寫入快閃記憶體的能力,端看主機板是否預設允許 BIOS 被改變
,或是經由跳線或機器當中的設定程式是否被改變。在研討會上的安全專家
對於哪些主機板預設是開啟的意見並不相同。當 Hoglund 相信絕大部份的
電腦都沒有將防止快閃記憶體被寫入的功能開啟時,NGSSoftware 的
Heasman 則不同意。
Heasman 表示:阻止部署的障礙相當多。幾乎所有的機器都有物理保護,例
如主機板上的跳線,阻止寫入。
然而,內部的攻擊者可以在他們離開公司之前寫入他人的筆記型電腦當中,
然後使用這個 rootkit,這將可以在重灌作業系統之後存活下來。然後這位
內賊將能夠透過他來存取公司的內部網路。
因為所有可以被攻擊者所使用的,在 BIOS 當中的記憶體相當的小,因此整
個 rootkit 不太可能儲存在主機板的記憶體上。反之,只有特殊的功能以
及啟動碼(bootstrap)會藏在這裡。
另一項用 ASL 進行編程的優點如下:這個程式可以很輕易的移植到不同的
平台上。
Heasman 說,這是平台獨立的,我們可以寫個 Windows 後門用來提升權限
,然後轉而在 Linux 上使用這個程式碼。
研究人員展現 rootkit 寫入 BIOS 的能力顯示我們需要更好的 rootkit 偵
測程式,另一位在 Black Hat Federal 上發表 rootkits 主題的研究人員
如此表示。
Joanna Rutkowska 是 invisiblethings.org 的獨立安全顧問,他說:
"John Heasman's presentation was very interesting and useful in
convincing people that we need to change our thinking about
rootkit/compromise detection."(John 發現很有趣也很有用,他讓我們
相信必須改變 rootkits 的偵測方式) "Today, many people believe
that it's just enough to enumerate all the potential triggering
points ... I don't agree with this approach, as it seems to be
lots of places which can be used as a triggering point - John has
just showed us how to use BIOS for this, but we can also think
about advanced file infection and many others."(現代人以為只要列
舉可能的弱點就夠了,可是我認為還有更多的地方可以用來觸發,John只是
舉出其中一個例子罷了。)
她還強調:事實上現在的偵測軟體應該聚焦於受威脅系統的完整掃瞄,而並
非只是察看特定的檔案,即便這些檔案有使用可以寫入到 BIOS 快閃記憶體
的 rootkit 技術。
Rutkowska 表示:"This is only the triggering aspect of the
malware." "Basically you can take any of the available malware
and add a BIOS-level trigger, or installer, to them. However,
after that malware is activated it needs to go to the operating
system memory and needs to interact with OS somehow."(基本上任何
惡意程式都可以拿這項 BIOS 等級的功能當作開關、當作跳板,用來進行入
侵。)
Defensive software should look to detect that activity
explicitly, she said.
※ 相關報導:
* Sony DRM 使用 rootkits?
* 『魔獸世界』因反作弊被列入間諜軟體的行列?
* Sony修補防拷音樂CD
* 『魔獸世界』的駭客利用 Sony BMG 的 rootkit
* Sony DRM rootkits 後續:危險的反安裝程式與 EULA
* 病毒創作者利用 Sony-BMG DRM 安全漏洞大肆進攻
* Sony BMG 取消 CD 版權保護軟體
* 比 rootkits 更糟糕的 Sony-BMG EULA
* Sony 防盜拷 CD 事件愈補愈大洞 有爭論 CD 將下架
* Sony BMG 因間諜軟體的侵害被德州控告
* Intel 開發硬體 rootkit 偵測晶片
* Windows 嚴重安全漏洞 2006 年大進攻
* MSN 病蟲利用 WMF 漏洞肆虐
* 微軟下週將推出 WMF 漏洞修補程式
* WINE 仍受到 WMF 漏洞影響
* WMF 是微軟的後門?
* 電腦病毒 "歡慶" 20 週年