r   e   k   l   a   m   a
r   e   k   l   a   m   a

Niewykrywalne szkodniki ukryte w urządzeniach peryferyjnych przestały być takie niewykrywalne

Strona główna AktualnościOPROGRAMOWANIE

O tym, że karty rozszerzeń czy płyty główne mogłyby być wektorem złośliwego oprogramowania, wiadomo w teorii przynajmniej od kilku lat. Dopiero jednak w 2012 roku Jonathan Brossard zademonstrował podczas konferencji Black Hat szkodnika o nazwie Rakhasha, który potrafił zainfekować BIOS komputera, kopiując się z BIOS-u karty sieciowej, by oddać napastnikowi pełną kontrolę nad komputerem ofiary. Brossard nie ujawnił nigdy kodu Rakhashy, ale zasugerował, że podobne metody znane są agencjom wywiadowczym z całego świata. Sytuacja dla ekspertów od bezpieczeństwa IT stała się więc kłopotliwa: nie rozumiejąc do końca metody ataku, nie mogli opracować skutecznych metod obrony przed ukrytymi w sprzęcie szkodnikami. Wreszcie jednak sytuacja zaczęła się zmieniać. Dwóch badaczy z Technische Universität Berlin, Patrick Stewin i Jurij Bystrow dokładnie opisali zarówno szkodnika ukrywającego się w firmware, jak i metody jego wykrywania.

Zagrożenia nie można bagatelizować. Stewin w swoim artykule pt. A Primitive for Revealing Stealthy Peripheral-Based Attacks on the Computing Platform's Main Memory pisze: wykorzystujące bezpośredni dostęp do pamięci (DMA) ataki wyprowadzane z urządzeń peryferyjnych są w stanie przejąć host bez korzystania z podatności obecnych w systemie operacyjnym uruchamianym na hoście (…) stanowią więc najwyższego poziomu zagrożenie dla bezpieczeństwa i spójności systemów komputerowych. Niestety do tej pory żaden system operacyjny nie zawiera mechanizmów umożliwiających wykrycie ataków bazujących na DMA. Co gorsze, w przeszłości zademonstrowano też ataki przeciwko jednostkom zarządzania pamięcią (MMU), wskutek czego im też nie można zaufać.

W swojej pracy Stewin opisuje szkodnika o nazwie DAGGER, który bierze na cel pamięć hosta właśnie przez dostęp po DMA zapewniany urządzeniom peryferyjnym, a następnie uruchamia w niej keyloggera. Systemy operacyjne i programy antywirusowe okazują się bezbronne. DAGGER zainfekował hosty działające zarówno pod kontrolą Windows, jak i Linuksa, w wersjach 32- i 64-bitowych, pomimo zabezpieczeń w postaci randomizacji przestrzeni adresowej pamięci. Co gorsza, oprogramowanie antywirusowe nie było w stanie stwierdzić obecności DAGGER-a w pamięci, sam zaś szkodnik mógł funkcjonować już nie tylko jako keylogger – jego ulepszona wersja przyjmowała dostarczane przez Sieć rozkazy od napastnika.

Władze federalne Niemiec zdając sobie sprawę z wagi tego zagrożenia, opłaciły badania nad detektorami, pozwalającymi wykryć ataki wyprowadzane przez DMA – i najwyraźniej pieniądze te zostały dobrze wydane. Stewin przedstawił w swojej pracy sposób budowy takiego detektora, prezentując moduł dla jądra Linuksa o nazwie BARM (Bus Agent Runtime Monitor). Moduł ten dowodzi, że procesor hosta może wykryć nieupoważniony dostęp do pamięci, wyprowadzony z urządzeń peryferyjnych, nawet wówczas jeśli nie może uzyskać dostępu do izolowanego środowiska uruchomieniowego atakującego urządzenia peryferyjnego. Staje się to możliwe dzięki porównywaniu obserwowanej aktywności na magistralach systemowych z aktywnością oczekiwaną przez system operacyjny i hiperwizor. W razie wykrycia istotnych odchyleń, BARN jest w stanie zgłosić atak przez DMA jak również określić, z którego urządzenia został on wyprowadzony.

Metoda ta ma być znacznie skuteczniejsza, niż dotychczas proponowane sposoby na ograniczenie dostępu do pamięci, takie jak np.Intel Virtualization Technology for Directed I/O (VT-d), według Stewina podatne na ataki z zewnątrz, niestabilne i niewspierane przez wiele systemów operacyjnych (w tym Windows 7). Napastnik nie może bowiem uniknąć wywołania dodatkowej aktywności na magistralach przy uzyskiwaniu dostępu do pamięci systemu – i aktywność ta ma być piętą achillesową wszystkich szkodników kryjących się w firmware urządzeń peryferyjnych. Co więcej, takie wykorzystanie procesora do śledzenia dostępu do pamięci nie powinno generować odczuwalnego narzutu na pracę systemu.

Na poniższym wideo możecie obejrzeć atak przeprowadzony za pomocą DAGGER-a. Miejmy nadzieję, że niebawem BARN stanie się standardowym modułem dla jądra Linuksa, a w przyszłości analogiczne metody wykorzysta Microsoft dla zabezpieczenia Windows.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.