بدافزاری برای بايوس و كارت شبكه
#1
Note 
Rakshasa می تواند توسط يك ايميل يا عكس يا يك برنامه جانبی ديگر، روی سيستم عامل نصب شود و با دستكاری آدرس دهی حافظه رم پس از ری استارت يا روشن شدن سيستم، جزء نخستین برنامه های اجرايی در رم باشد و به سرعت با تغيير آدرس دهی بايوس مادربورد، خودش را به جای آن اجرا كند.

جاناتان بروسارد (Jonathan Brossard) محقق و مشاور با سابقه امنیتی، وجود یک بدافزار سخت افزاری به نام Rakshasa را به عنوان شاهد مثال، اثبات کرده است كه يك نوع Backdoor براي بايوس و كارت شبكه سيستم است و می تواند در زمان بوت شدن سيستم عامل، اثرهای تخريبی روی هاردديسك بگذارد. تیم بروسارد كه وابسته به شركت امنيتی فرانسوی Toucan System هستند، در خلال كنفرانس Defcon Hacker اين بدافزار را معرفی كردند. Rakshasa نخستین بدافزار در حوزه سخت افزار برای حمله به بايوس مادربورد نيست؛ بلكه از شيوه های جديدی استفاده می كند كه موجب آسيب زدن به سخت افزارهای ديگر متصل به مادربورد مانند هاردديسك میشود و با استفاده از ترفندهای كاملاً جديدی میتواند از شناسايی توسط نرم افزارهای امنيتی فرار كند.

اين بدافزار به اين صورت عمل میكند كه خودش را در سيستم به جای بايوس مادربورد معرفی می كند و كنترل مادربورد و برخی از دستگاه های سخت افزاری مانند كارت شبكه را به دست گرفته و در كار آن ها اختلال ايجاد می كند و موجب آسيب زدن به آن ها می شود. این نرم افزار با کمک ابزارهای اپن سورسی نظیر Coreboot، SeaBIOS و iPXE نوشته شده است که همین امر مانع از شناخته شدن آن توسط نرم افزارهای امنیتی می شود. بروسارد در زمان رونمايی، هدف خود از ساخت اين بدافزار را نشان دادن آسيب پذيریهای سخت افزاری كامپيوترهای امروزی عنوان كرده  و می گويد كافی است يك برنامه جايگزين بايوس مادربورد شود تا سخت افزارهايی مانند كارت شبكه و درايو نوری را به راحتی و با استفاده از بازنويسی فرم وير در اختيار بگيرد. به گفته بروسارد اهميت اين بدافزار اينجا است كه نرم افزارهای امنيتی فعلی فرآیند و مكانيزمی برای شناسايی بدافزارهای بايوس ندارند و در صورت مشاهده نكردن رفتار مشكوكی از سيستم، هيچ گاه نمی توانند تشخيص بدهند که يك نرم افزار به جای بايوس اصلی روی سيستم در حال اجرا شدن است.
بروسارد توجه سازندگان سخت افزار را به اين بدافزار جلب كرده و از آن ها خواسته است، روش های جديدی در فرم وير و بايوس محصولات خود اعمال كنند كه از حملات اين چنينی جلوگيری كنند. Rakshasa می تواند توسط يك ايميل يا عكس يا يك برنامه جانبی ديگر، روی سيستم عامل نصب شود و با دستكاری آدرس دهی حافظه رم پس از ری استارت يا روشن شدن سيستم، جزء نخستین برنامه های اجرايی در رم باشد و به سرعت با تغيير آدرس دهی بايوس مادربورد، خودش را به جای آن اجرا كند. نام Rakshasa از يك شيطان در فرهنگ هندو گرفته شده است.
منبع:
ماهنامه شبکه

پاسخ
ایجاد موضوع جدید   پاسخ به موضوع  

کاربرانِ درحال بازدید از این موضوع:   1 مهمان