Руткиты на основе BIOS. Часть 1 / Comments / Habr

JerleShannara Aug 3 2020 at 19:02

Беда только в том, что Legacy BIOS почти полностью исчез с рынка где-то в 12-13 году. И с приходом повсеместного UEFI с одной стороны стало намного проще (написал свой DXE, закинул в прошивку и наслаждайся), а с другой намного сложнее (SecureBoot, BootGuard — ага, закинул, нет подписи — облом, ищи, где Intel/AMD капитально ошиблись).

bgnx Aug 4 2020 at 01:26

Вспомнил ваш ник в статьях CodeRush :) Вы случайно не в курсе что изменилось с тех пор? Насколько сложно сейчас вирусу с правами админа или рута пережить переустановку ос? И кстати если ли смысл как-то защищаться на этом уровне? Мол из-за таких защит сам юзер (имея права админа) уже не сможет просто обновить bios и перезагрузить — ему придется делать дополнительные манипуляции (писать на флешку, зажимать горячие клавиши при включении и т.д). И если мы не хотим доставлять неудобств юзеру то появляются такие уже мысли — мол пусть операционные системы становятся менее дырявыми и делают гранулярные права на те или иные возможности (как в ios и android), и если уж программа получила права рута так лишь бы не перезатерла одноразовые fuses в биос — чтобы можно было при переустановке (или покупке б/у) вычистить/сбросить весь перезаписываемый код в биос (и других разнообразных firmware-областях)

JerleShannara Aug 4 2020 at 15:21

Тут палка о двух концах:
С одной стороны мы имеем унифицированный интерфейс — т.е. я пишу один модуль (который вообще имеет формат PE и в теории может быть даже на модных языках типа rust-а написан ну или на классическом C), который будет работать на всех материнках года эдак с 2014. При этом у меня есть унифицированный интерфейс доступа ко всему железу (а не костыли, прерывания и угадайку вида «а int13h у меня сейчас уже сформировалось правильно, или ещё будет меняться?»), что позволяет мне работать на уровне «откроем fs0:/windows/notepad.exe и припишем к нему свою нагрузку» не заморачиваясь на тему файловых систем. Ну и ЕМНИП есть ещё вариант добавить/заменить в ACPI табличку WPBT, в которую поместить вообще ссылку на виндовый бинарник, который винда выполнит (и не факт, что это будет проверено антивирусом).
А с другой — сейчас стало сложнее именно прошить свою прошивку во FLASH. Сейчас малину портят несколько технологий, из которых я бы выделил комбинацию Intel ME и BootGuard, которые мне просто не дадут загрузиться с неподписанного образа. Эта штука портит всё удовольствие несколько лет.
В итоге пользователю следует по возможности(и наличию) запретить обновление BIOS/UEFI на новой платформе и держать поменьше дыр в операционке (т.к. легко и непринуждённо винусное приложение может оказаться на esp разделе и быть прописаным в список загрузки).