パスワードを忘れた? アカウント作成
11974322 story
ハードウェア

ファームウェアを狙うマルウェア、攻撃者にとっての利点は 24

ストーリー by hylom
時代はファームウェア 部門より
taraiok 曰く、

CanSecWestセキュリティカンファレンスで、BIOSにマルウェアを組み込むツールについての研究が発表されるという(threatpostSlashdot)。

このツールの特徴は、ファームウェアを更新してもマルウェアが削除されない点。ほとんどのBIOSでは、ファームウェア更新時も変更されずに保護されるブロックがある。研究者たちはそのスペースの脆弱性を見つけ出す機能を自動化し、保護を解除するツールを作り出したという。

BIOS内にマルウェアをインストールすることで、OSの再インストールやストレージの交換などを行ってもそのマルウェアは生き残ることができ、またBIOSという低レベルレイヤーで情報収集を行うことで暗号化などによる保護を無効化し、パスワードや暗号化通信をも盗むことができるといったメリットがあるという。

近年ではファームウェアとしてUEFIを採用したPCが増えているが、UEFIは開発を簡素化するためにオープンソース化およびモジュール化されていることもリスクにつながるという。複数のベンダで共通で利用されているコードを狙うことで、メーカーの垣根を乗り越えたマルウェアを作ることも可能だという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by miyuri (33181) on 2015年03月24日 13時08分 (#2783613) 日記

    情報収集を行えるモノだったかな。

    • by Anonymous Coward on 2015年03月24日 13時32分 (#2783640)

      旧式のBIOSでは無理でもUEFIの場合UEFIの階層で提供される物理ドライバをOS上の論理ドライバから使う場合もあるので、一概には言えない。

      親コメント
      • by Anonymous Coward

        EFI boot servicesはわかるんですがruntime servicesは物理ドライバと呼べるようなモジュールありましたっけ?

  • by Dobon (7495) on 2015年03月24日 6時46分 (#2783379) 日記

    CPUに"署名されたコードしか実行しない仕組み"を組み込めばいい。

    # そして、こんどはCPUのコード認証システムが狙われる…

    --
    notice : I ignore an anonymous contribution.
  • by Ooty (29466) on 2015年03月24日 12時13分 (#2783571) 日記
    ファームウェアに不正なコードが紛れ込んでいた場合、機密情報を改ざんしたり、漏洩させたりします。1つのUSBメモリのために、情報漏洩で大きな打撃を受けることになってしまいます。

    しかし、Firmware に紛れ込んだ不正なコードが、情報を改ざんしたり、漏洩させたりするためには、まずはそれが機密情報を検知出来なければいけません。
    弊社の Camouflaged I/O Access Driver を導入いただくと、OS レベルで I/O アクセスを監視し、不正な firmware が機密情報を検知できないように隠蔽してデータをやり取りします。
    また、firmware の振る舞いを監視することで、不正な firmware を検知することも可能です。

    これらの機能により、被害を最小限に食い止めることが出来るのです。

    お見積もりのご依頼はこちらまで。
  • by Anonymous Coward on 2015年03月24日 8時02分 (#2783402)

    はじめからBIOSにはバックドアが仕込まれています

    • by Anonymous Coward

      ところがバックドアに脆弱性があって、他国のバックドアが上書きされます

      みたいな展開もアリ。

  • by Anonymous Coward on 2015年03月24日 9時01分 (#2783429)

    UEFIあたりで知識と経験が失われて再度似たような穴が開いたんじゃないかねぇ。

    • by Anonymous Coward

      CHIウイルスはメモリ感染型だからちょっと違うんじゃないかな。

      ところでMBRだかBIOSに感染して起動時に小ギャルが”N○Tチョーサイテー”って喋り捲るウイルス誰か知りません?
      10年くらい前にXPで感染したんですが、なんてウイルスなのか分からないままなんで気になってるんですよね・・・

  • by Anonymous Coward on 2015年03月24日 9時26分 (#2783449)

    ホワイトハッカーのふりをして
    関連講演やコンサルで荒稼ぎできるとか
    セキュリティ対策製品が売れるとか

    • by Anonymous Coward

      普通にサイバー攻撃にも使えるんぢゃなくて?地球の裏側から原子力発電所をメルトダウンとかされたくないっしょ?

  • by Anonymous Coward on 2015年03月24日 10時11分 (#2783487)

    というのが彼の口癖だった。

    • by Anonymous Coward

      一方、彼女はMacだから安全、と言った。

  • by Anonymous Coward on 2015年03月24日 10時31分 (#2783504)

    そんな管理エリアのわずかな(?)領域に巣食った所で、どれほどの活動ができるんでしょうか?
    ってのが疑問というか興味がある。

    • by Anonymous Coward

      UEFIの場合、場合によってはWebブラウザやメディアプレーヤーを組み込めるほどのエリアがありますので、やろうと思えば結構なことができたりするんです。

      • by Anonymous Coward

        「更新されない領域」がどの程度なのだろうか、それは小さく悪さするコードを置くのにも
        小さすぎるのではというのが2783504の興味じゃないかと。書き換えられる領域はそもそも大きいのは前提で。

        で、そもそものタレこみのこの「書き換えられない」という部分が元記事では特に言ってないことを書いてると思う。
        元記事は、BIOSには書き換え保護機能があるけどそれを無効化できるソフトウエア上の脆弱性があり、
        それが共通コードに由来しているので複数BIOSベンダ間の製品に共通に使える攻撃方法が実現できたってことを言っている。

        BIOS更新しても「書き換えられない領域」の話は特にしてないと思うな。
        それにBIOSを乗っ取ったのだからBIOSの自己書き換えコードをmalware部分が上書きされないように改変しておけば
        書き換えられない領域は好きなように作り出せる

    • by Anonymous Coward

      そこまで必要ない

      NASのLinux化見たいに
      最低限必要な部分だけその領域に置き
      後はストレージを見に行けばいい

      無くなってたらネットから落としてくるように
      バッチでも仕込めばいい

      実体を狭い領域に押し込む必要はないので
      コアとスクリプトだけで十分です

    • by Anonymous Coward

      ブートコードに順々に乗っていき、最後にrootkitがカーネルに入れればいいんです
      加えて、何か読み込め、くらいは書けるでしょう

  • by Anonymous Coward on 2015年03月24日 10時36分 (#2783510)

       \  __  /
       _ (m) _  ピコーン
          |ミ|
       / `´  \
         ( ゚∀゚)    BIOSに入れ(させ)よう!
        ノヽノ |

    • by Anonymous Coward

      IntelとIntel Security(マカフィー)がやろうとしていることがそれですよね。

  • by Anonymous Coward on 2015年04月06日 18時29分 (#2791894)

    ヒューレットパッカードHPと、富士通ダイナブック(ノート)シリーズは全台脆弱性があるという事だな。

  • by Anonymous Coward on 2015年04月06日 18時40分 (#2791899)

    Windows Updateをしたら、マウスポインタをIEメニューバーに合わせるとIEのURLボックスに表示されているURLのフォントがグレーに変化し、しかもフォントも微妙に小さくなったりと不安定になった。

    Windows7 Microsoft.NET Framework 4.5.2 KB2901983
    KB3035583
    をインストールすると通常ダブルクリックで開くファイルがワンクリックで開くようになりシステム改竄されたんでアンインストールしたがどうなるやら。しかも最新のAdobe ReaderとFlash Playerでそれに拍車がかかる。

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...