Nástroj je reakcí na uniklé dokumenty CIA, které odhalují, že tento úřad vyvinul rootkity EFI (Extensible Firmware Interface; rozšiřitelného rozhraní firmwaru) pro Macbooky od Applu. Rootkit je škodlivý program, který běží s vysokými privilegii – typicky v jádru – a skrývá existenci dalších škodlivých komponentů a aktivit.
Dokumenty jedné z divizí CIA zmiňují „implantát“ pro OS X zvaný DerStarke, obsahující modul pro injektáž kódu jádra zvaný Bokor, a perzistentní modul pro EFI zvaný DarkMatter.
EFI, známé také jako UEFI (Unified EFI) je firmware na základní úrovni, který běží pod úrovní operačního systému a spouští různé hardwarové komponenty v průběhu procesu bootování systému. Jde o náhražku staršího a jednoduššího BIOSu v moderního počítačích, která připomíná miniaturní operační systém. Může mít stovky „programů“ pro různé funkce, jež jsou implementovány jako spustitelné binární soubory.
Škodlivý program skrytý v EFI dokáže škodlivý kód „vstříknout“ do jádra operačního systému a dokáže tak obnovit jakýkoliv malware, který byl předtím z počítače odstraněn. To rootkitům umožňuje přežít velké aktualizace systému, a dokonce jeho přeinstalování.
Tým pro výzkum pokročilých hrozeb ve společnosti Intel Security vytvořil nový modul pro svůj open-source framework CHIPSEC, který dokáže detekovat škodlivé binární soubory v EFI. CHIPSEC se skládá ze souboru nástrojů v příkazovém řádku, které využívají základní rozhraní pro analýzu systémového hardwaru, firmwaru a platformních komponent. Je možné jej spouštět z Windows, Linuxu, macOS a dokonce i ze samotného EFI.
Nový modul pro CHIPSEC umožňuje uživateli převzít čistý obraz (image) EFI od výrobce svého počítače, rozbalit jeho obsah a uvnitř něj si sestavit whitelist binárních souborů. Ten pak srovnáte s aktuálním EFI systému nebo s obrazem EFI, jenž byl předtím extrahován ze systému.
Jestliže nástroj nalezne jakékoliv binární soubory, které neodpovídají seznamu čistého EFI, je možné, že došlo k infekci firmwaru. Škodlivé soubory jsou poté zaznamenány pro další analýzu.
„Doporučujeme generovat whitelist EFI po koupi systému nebo jste-li si jistí, že [systém] zatím nebyl infikován,“ píšou experti z Intel Security v příspěvku na blogu. „Poté kontrolujte firmware EFI na vašem systému pravidelně, nebo například tehdy, když svůj notebook předtím necháte bez dozoru.“
Zdroj: CIO.com
PŘEDPLATNÉ
ČLÁNKY DO MAILU