BIOSファームウェアは、コンピュータのマザーボードに同梱されています。システムの電源を付け、オペレーティングシステム(OS)がロードされる前に起動されます。具体的には、BIOSはシステム診断を容易にし、使用可能なハードドライブを検出し、OSの起動のためにディスクからデータを読み取ります。

OSが起動する前にBIOSロゴを確認することができます。

BIOSチップへのアクセスと再フラッシュは簡単な作業ではありません。これを達成するには、チップにアクセスするためにマザーボードチップセットと通信する必要があります。次に、チップを検出し、チップがサポートするデータ消去/書き込みプロトコルを使用しなければなりません。しかし、トロイの木馬の作者は、より簡単な方法を選択し、BIOSがすべての作業を行うようにしました。作者はアイスランドのエイリアスが行った、中国の研究者から得た情報を使用していました。Award BIOSのWinflashユーティリティを分析した結果、システム管理モードで BIOSのサービスを使ってチップをリフレッシュするという簡単な方法が明らかになったのは2007年のことです。OSはSMMおよびSMRAMコードにアクセスすることはできません(BIOSが正しく書き込まれていれば、コードへのアクセスがブロックされます)ので、コードは独立して実行されます。

https://news.drweb.com/?i=1879&c=9&lng=en

マルウェア「Rakshasa」は、BIOSを完全に置き換え、Corebootを使用してハードウェアを初期化し、SeaBiosを使用してBIOSのUIをエミュレートします。また、iPXEを使用してLAN、WI-FI、WIMAX、およびLTEによるネットワークブートとリモート制御を容易にし、後でWindowsおよびLinuxのカーネル変数を変更するためにブートキットKon-bootをロードします。

以下のタイプの攻撃を行います：

• SMM修正プログラムを削除します。これによりマルウェアコードが実行され、他のコードの実行は中断されます。このように、マルウェアプロセスはスーパーユーザー権限で実行されるため、コンピュータ上の任意の設定を変更してファイルを変更することができます。
• BIOS NX機能を無効化します。特定のメモリ領域を非実行可能とマークする属性です。これにより、マルウェアコードを実行してパスワード保護を回避し、ターゲットマシンをリモートコントロールすることができます。
• ASLR(Address Space Layout Randomisation)を無効化します。プロセスの重要なデータ領域にランダムアドレスを提供する手法です。攻撃者は脆弱なプロセスのアドレスを知らないため、ASLRはバッファオーバーフロー攻撃を複雑にします。ASLRを無効にすると、どのOSでも攻撃を開始するのがはるかに簡単になります。
• TrueCrypt / BitLockerパスワードを取得するためのパスワードプロンプトを置き換えます。 BIOS機能を使用して、キーボード入力をエミュレートして、変更またはコピーできるデータを復号化します。
• OSの起動前にファイルシステムを変更して、リモート管理モードを有効にし、システムに他のマルウェアを感染させます。

「Rakshasa」とは：

• Wi-FiとWIMAXを使用して、別々のモジュールまたはOSイメージ全体をダウンロードし、ファイアウォールをバイパスしてネットワークを危険にさらします。
• BIOSが再読み込みされるか、OSの再インストールをした場合、マルウェアはイーサネットアダプタ、SATAコントローラ、または信頼できるデバイスなどのPCIデバイスに以前書き込んだイメージを使用して自己修復します。
• マザーボードのファームウェアコードの実行前に起動されるため、ADM SVM、Intel Trusted Execution Technologyなどのセキュリティ機能を回避します。

典型的な「Rakshasa」の感染シナリオでは、標的システムのハードウェアにアクセスし、リムーバブルメディアからマルウェアを付属のPCハードウェアにアップロードする攻撃が含まれます。つまり、新しいコンピュータに感染させて出荷させることができます。

http://idmatic.ru/antiinsider/83-antiinsider/341-rakshasa