Nieusuwalny, replikujący się i łatwy w instalacji bootkit w MacBooku

dodał 22 grudnia 2014 o 00:25 w kategorii Wpadki  z tagami:
Nieusuwalny, replikujący się i łatwy w instalacji bootkit w MacBooku

Co powiecie na złośliwe oprogramowanie, które można na trwałe zainstalować w MacBooku mając jedynie chwilowy dostęp do jednego portu, którego nie da się usunąć i które potrafi samo przenosić się na inne urządzenia – niekoniecznie komputery?

Koncepcja bootkitów nie jest nowa, a od wielu lat znana jest również w MacBookach. Trzeba jednak przyznać, że najnowszy pomysł na jej realizację ma powiew świeżości i kilka interesujących funkcji.

Niewidzialny, nieusuwalny, rozmnażający się

Trammel Hudson, autor wielu prac dotyczących analizy wbudowanego oprogramowania, ma już za kilka dni przedstawić na konferencji 31C3 bardzo ciekawą koncepcję bootkitu dla MacBooka. Po pierwsze interesująca jest metoda instalacji złośliwego oprogramowania w komputerze. Co prawda Apple zabezpiecza kryptograficznie aktualizacje EFI (następcy BIOSu), ale Trammel skorzystał z metody na obejście tych zabezpieczeń. Tym sposobem jest ROM urządzenia Thunderbolt. Trammel najpierw łączy się z portem Thunderbolta, by zapisać odpowiednie dane do tzw. Option ROM urządzenia, czyli pamięci, które zostanie załadowana w momencie uruchamiania komputera. Pozwala to na zaktualizowanie EFI i wgranie własnego kodu.

Jedyne, czego potrzeba w ataku, to dostępu do portu Thunderbolt. Przy okazji aktualizowania EFI zmieniany jest również zapisany w pamięci ROM klucz publiczny Apple, by uniemożliwić przyszłe próby aktualizacji oprogramowania. To powoduje, że bez znajomości klucza prywatnego użytego w ataku do podmiany, jedyną metodą usunięcia bootkitu jest sprzętowe nadpisanie układów pamięci. Ze względu na umiejscowienie złośliwego kodu w pamięci ROM reinstalacja systemu operacyjnego lub nawet wymiana dysku twardego nie wpływa w żaden sposób na jego funkcjonowanie.

Port Thunderbolt

Port Thunderbolt

Kolejną, chyba najciekawszą opcją bootkitu jest jego umiejętność rozmnażania się. Proces infekcji innych urządzeń podłączonych przez port Thunderbolt jest identyczny jak w przypadku komputera. Złośliwy kod zostaje załadowany do pamięci Option ROM, gdzie może spokojnie czekać na podłączenie innego komputera. W ten sposób bootkit może się przenosić z komputera na komputer przez np. współdzielony monitor lub dysk zewnętrzny.

Trammel twierdzi, że metoda ataku z wykorzystaniem pamięci Option ROM ma już dwa lata i jak do tej pory Apple nie zdecydowało się jej załatać.