Predstavitev Ring -3 rootkitov na BlackHat konferenci

Rafal Wojtczuk in Alexander Tereshkin iz Invisible Things Lab sta na včerajšnji predstavitvi na konferenci Black Hat predstavila Ring -3 rootkite.

Kot je znano, so rootkiti posebna (zlonamerna) programska oprema, ki se skuša prikriti na računalniku. Bolj znani so tim. Ring 3 in Ring 0 rootkiti (prvi tečejo s privilegiji uporabnika, drugi s privilegiji jedra operacijskega sistema). Med manj znanimi pa so Ring -1 oziroma (strojni) hipervizorski rootkiti in Ring -2 rootkiti (ki izkoriščajo ranljivosti v SMM pomnilniku). Kot sta februarja letos pokazala Wojtczuk in Rutkowska je namreč s pomočjo ranljivosti v SMM mogoče izvesti uspešen napad na Intel TXT (Trusted Execution Technology) ter tako računalnik okužiti z "nevidno" zlonamerno programsko kodo.

Največ odkritij na področju Ring -1 in Ring -2 rootkitov si lastijo v Invisible Things Labu, ki ga vodi Joanna Rutkowska. Včeraj pa je ista ekipa predstavila še Ring -3 rootkite.

Pokazali so, kako je mogoče zaobiti zaščito, ki onemogoča flashanje BIOS-a na Intel matičnih ploščah z AMT (Active Management Technology) ter s tem izvesti uspešen programski napad na Intelove matične plošče z Q35 naborom (napad na Q45 naboru ne deluje). Napad (zaenkrat) še ni generaliziran, problematično pa je, da se vsaj nekaj AMT kode izvede tudi v primeru, če uporabnik onemogoči AMT v BIOS-u.

Vsekakor gre za zanimivo področje raziskovanja na področju informacijske varnosti, saj se z napadi na strojno opremo ukvarja le peščica raziskovalcev. Da gre za področje, ki lahko resno ogrozi varnost informacijskih sistemov pa kažejo tudi raziskave Arriga Triulzija o napadih na mrežne kartice, Johna Heasmana o PCI strojnih rootkitih, znani pa so tudi napadi preko firewire in USB naprav.

Made in China.