Вредоносный код может быть записан в Bios при помощи Acpi

В своем докладе на конференции Black Hat Federal эксперт по безопасности Джон Хисмен поведал слушателям о том, что система управления питанием и настройками (Advanced Configuration and Power Interface, ACPI), реализованая в большинстве систем ввода-вывода (BIOS) современных материнских плат, может быть использована для внедрения вредоносных программ на компьютер.

В 1998 году вирусы winCIH и "Чернобыль" могли лишь засорить флэш-память BIOS, что приводило к выходу компьютера из строя. Теперь для работы с ACPI используется высокоуровневый интерпретируемый язык программирования, который можно использовать для написания полноценных руткитов.

Такие руткиты могут представлять намного большую опасность, так как не зависят от установленной операционной системы. В презентации Хисмена был наглядно продемонстрирован код, позволяющий программе, проникшей в BIOS, взаимодействовать как с различными версиями Windows, так и с Linux. Естественно, полностью подобная программа поместиться в память BIOS не может, поэтому использует механизм перехвата управления при загрузке компьютера.

Естественно, для разработчиков системных плат урок эпидемии "Чернобыля" не прошел даром. С той поры подавляющее большинство современных плат снабжено перемычкой, блокирующей запись в память BIOS, но потенциальная возможность того, что эта перемычка будет установлена (производителем или владельцем карты) в положение, разрешающее запись, все же существует.

В докладе приводится пример, когда вредоносная программа внедряется в личный ноутбук служащего, а потом при подключении к рабочему компьютеру заражает корпоративную сеть и предоставляет злоумышленнику доступ к секретным данным. Приводятся и примеры алгоритмов, которые могут помочь антивирусам отследить подобную угрозу.

compulenta.ru​