Hlavní navigace

CIA šíří malware napadající firmware počítače, naštěstí jej již můžete odhalit

13. 3. 2017
Doba čtení: 2 minuty

Sdílet

 Autor: Alex - Fotolia.com
Společnost Intel Security vydala nástroj, který uživatelům umožňuje zkontrolovat, zda nebyl firmware jejich počítače na základní úrovni modifikován a zda neobsahuje neautorizovaný kód.

Nástroj je reakcí na uniklé dokumenty CIA, které odhalují, že tento úřad vyvinul rootkity EFI (Extensible Firmware Interface; rozšiřitelného rozhraní firmwaru) pro Macbooky od Applu. Rootkit je škodlivý program, který běží s vysokými privilegii – typicky v jádru – a skrývá existenci dalších škodlivých komponentů a aktivit.

Dokumenty jedné z divizí CIA zmiňují „implantát“ pro OS X zvaný DerStarke, obsahující modul pro injektáž kódu jádra zvaný Bokor, a perzistentní modul pro EFI zvaný DarkMatter.

EFI, známé také jako UEFI (Unified EFI) je firmware na základní úrovni, který běží pod úrovní operačního systému a spouští různé hardwarové komponenty v průběhu procesu bootování systému. Jde o náhražku staršího a jednoduššího BIOSu v moderního počítačích, která připomíná miniaturní operační systém. Může mít stovky „programů“ pro různé funkce, jež jsou implementovány jako spustitelné binární soubory.

Škodlivý program skrytý v EFI dokáže škodlivý kód „vstříknout“ do jádra operačního systému a dokáže tak obnovit jakýkoliv malware, který byl předtím z počítače odstraněn. To rootkitům umožňuje přežít velké aktualizace systému, a dokonce jeho přeinstalování.

Tým pro výzkum pokročilých hrozeb ve společnosti Intel Security vytvořil nový modul pro svůj open-source framework CHIPSEC, který dokáže detekovat škodlivé binární soubory v EFI. CHIPSEC se skládá ze souboru nástrojů v příkazovém řádku, které využívají základní rozhraní pro analýzu systémového hardwaru, firmwaru a platformních komponent. Je možné jej spouštět z Windows, Linuxu, macOS a dokonce i ze samotného EFI.

Nový modul pro CHIPSEC umožňuje uživateli převzít čistý obraz (image) EFI od výrobce svého počítače, rozbalit jeho obsah a uvnitř něj si sestavit whitelist binárních souborů. Ten pak srovnáte s aktuálním EFI systému nebo s obrazem EFI, jenž byl předtím extrahován ze systému.

Jestliže nástroj nalezne jakékoliv binární soubory, které neodpovídají seznamu čistého EFI, je možné, že došlo k infekci firmwaru. Škodlivé soubory jsou poté zaznamenány pro další analýzu.

„Doporučujeme generovat whitelist EFI po koupi systému nebo jste-li si jistí, že [systém] zatím nebyl infikován,“ píšou experti z Intel Security v příspěvku na blogu. „Poté kontrolujte firmware EFI na vašem systému pravidelně, nebo například tehdy, když svůj notebook předtím necháte bez dozoru.“

Zdroj: CIO.com