Your browser is obsolete!

The page may not load correctly.

無料トライアル版
Dr.Web for Android

Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.com:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

BIOSに潜むウイルス感染とその危険性

BIOSに潜むウイルス感染とその危険性

2017年6月27日

株式会社Doctor Web Pacific


私はシステム管理者ですが、もし、コンピュータ上の課題を解決する際、キーボードとスケートボードの違いを知らず、答えることができない老婦人に「コンピュータに何が起きていたの?」と尋ねられても、複雑なシステム障害の内容を説明しようと思いますか? 私ならそれは「ウイルス」のようなものだったと答えてしまう方が簡単なのでそうします。

そして私は彼女が友人にコンピュータを壊した原因が悪いウイルスによるものだったと話したとしても気にしません。

http://computia.ru/boremsya-s-virusami/chto-ne-mozhet-virus-ili-mify-o-kompyuternyx-virusax

今回は、まれに起こるコンピュータトラブルを取り上げます。今日は、BIOSとブートセクターの感染について説明します。ではBIOSの説明から始めましょう。

BIOSファームウェアは、コンピュータのマザーボードに同梱されています。システムの電源を付け、オペレーティングシステム(OS)がロードされる前に起動されます。具体的には、BIOSはシステム診断を容易にし、使用可能なハードドライブを検出し、OSの起動のためにディスクからデータを読み取ります。

OSが起動する前にBIOSロゴを確認することができます。

BIOSは、MS-DOS時代にウイルス作成者の注意を引きました。ファームウェアには、OSハードウェアのやりとりを容易にする割り込みコードが組み込まれていたからです。割り込みルーチン13hは具体的には、ディスクセクタにデータを読み書きする役割を担っています。

犯罪者は、OSが起動したときにウイルスを復元し、ユーザーに見えないままブートウィルスを作成するために割込みルーチンを使用しました。

Windowsは、カーネルで始まるコンポーネントをロードするために、BIOS割込みルーチン(ブートプロセスの開始時に割り込みベクタテーブルをクリア)を使用しません。今日ではBIOS割込みルーチンの傍受はマルウェアにはあまり関係がなく、マルウェアは、OSが起動する前に、割込みルーチン13hを使用して任意のディスクセクタにデータを読み書きします。

2011年、Doctor Webのセキュリティ研究者は、Award SoftwareのBIOSにのみ感染する可能性があるプログラムのサンプル(Trojan.Bioskit.1)を発見、入手しました。その後、Trojan.Bioskitとは別に修正を広めるプログラムが検出されましたが、コード内のエラーのため、このバージョンのトロイの木馬は深刻な脅威にはなりません。

BIOSチップへのアクセスと再フラッシュは簡単な作業ではありません。これを達成するには、チップにアクセスするためにマザーボードチップセットと通信する必要があります。次に、チップを検出し、チップがサポートするデータ消去/書き込みプロトコルを使用しなければなりません。しかし、トロイの木馬の作者は、より簡単な方法を選択し、BIOSがすべての作業を行うようにしました。作者はアイスランドのエイリアスが行った、中国の研究者から得た情報を使用していました。Award BIOSのWinflashユーティリティを分析した結果、システム管理モードで BIOSのサービスを使ってチップをリフレッシュするという簡単な方法が明らかになったのは2007年のことです。OSはSMMおよびSMRAMコードにアクセスすることはできません(BIOSが正しく書き込まれていれば、コードへのアクセスがブロックされます)ので、コードは独立して実行されます。

https://news.drweb.com/?i=1879&c=9&lng=en

システム管理モードは、OSを含むすべての通常のコード実行が一時停止される運用モードです。代わりに、特別なソフトウェアが高い特権で実行されます。通常通り、それはメモリとチップセットのエラーを処理し、過熱CPUをシャットダウンするという合理的な目的のために設計されました。しかし、OSのセキュリティ機能を迂回してルートキットを立ち上げるために使用することもできます。SMMコードは、カーネルおよびハイパーバイザーのメモリセグメントを含むすべてのシステムメモリに無制限にアクセスできます。

マルウェア「Rakshasa」は、BIOSを完全に置き換え、Corebootを使用してハードウェアを初期化し、SeaBiosを使用してBIOSのUIをエミュレートします。また、iPXEを使用してLAN、WI-FI、WIMAX、およびLTEによるネットワークブートとリモート制御を容易にし、後でWindowsおよびLinuxのカーネル変数を変更するためにブートキットKon-bootをロードします。

以下のタイプの攻撃を行います:

  • SMM修正プログラムを削除します。これによりマルウェアコードが実行され、他のコードの実行は中断されます。このように、マルウェアプロセスはスーパーユーザー権限で実行されるため、コンピュータ上の任意の設定を変更してファイルを変更することができます。
  • BIOS NX機能を無効化します。特定のメモリ領域を非実行可能とマークする属性です。これにより、マルウェアコードを実行してパスワード保護を回避し、ターゲットマシンをリモートコントロールすることができます。
  • ASLR(Address Space Layout Randomisation)を無効化します。プロセスの重要なデータ領域にランダムアドレスを提供する手法です。攻撃者は脆弱なプロセスのアドレスを知らないため、ASLRはバッファオーバーフロー攻撃を複雑にします。ASLRを無効にすると、どのOSでも攻撃を開始するのがはるかに簡単になります。
  • TrueCrypt / BitLockerパスワードを取得するためのパスワードプロンプトを置き換えます。 BIOS機能を使用して、キーボード入力をエミュレートして、変更またはコピーできるデータを復号化します。
  • OSの起動前にファイルシステムを変更して、リモート管理モードを有効にし、システムに他のマルウェアを感染させます。

「Rakshasa」とは:

  • Wi-FiとWIMAXを使用して、別々のモジュールまたはOSイメージ全体をダウンロードし、ファイアウォールをバイパスしてネットワークを危険にさらします。
  • BIOSが再読み込みされるか、OSの再インストールをした場合、マルウェアはイーサネットアダプタ、SATAコントローラ、または信頼できるデバイスなどのPCIデバイスに以前書き込んだイメージを使用して自己修復します。
  • マザーボードのファームウェアコードの実行前に起動されるため、ADM SVM、Intel Trusted Execution Technologyなどのセキュリティ機能を回避します。

典型的な「Rakshasa」の感染シナリオでは、標的システムのハードウェアにアクセスし、リムーバブルメディアからマルウェアを付属のPCハードウェアにアップロードする攻撃が含まれます。つまり、新しいコンピュータに感染させて出荷させることができます。

http://idmatic.ru/antiinsider/83-antiinsider/341-rakshasa

#terminology #vulnerability #BIOS

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2018

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F