Alexander TereshkinとRafal Voitchukは、次のトピックを取り上げました。
1. 第3レベルのリングのルートキットに関する 知識(元:「リング-3」ルートキットの紹介) 。
2. Intel BIOSを攻撃します (元:Intel BIOSを攻撃します)。
レベル3ルートキットの紹介
このプレゼンテーションでは、マルウェアがIntel AMTテクノロジー( vProブランドの一部)を使用して、マシンを密かに制御する方法に関する研究を示しています。
Intel AMTテクノロジーは攻撃者に魅力的な機会を提供します:AMTコードはチップセット(vPro互換MCH)にある独立したプロセッサによって実行され、AMTメモリはホストメモリから分離され(分離はチップセットによって提供されます)、AMTコードはネットワークカードへの特別なリンクを持ちます(関係なく)最後に、コンピューターがスリープモード(S3)であっても、AMTはアクティブ状態のままになります。
この作業は、マルウェアがAMTのメモリ保護をバイパスし、その結果、チップセットで実行されるAMTコードを侵害する方法を示しています。 さらに、AMT'shコードのリバースエンジニアリングに使用される技術が開示されています。 ホストメモリにアクセスできるルートキットを作成するために必要でした(ルートキットはチップセットで実行されますが、WindowsなどのホストOSに完全にアクセスできます)。
この調査では、ファームウェアやハードウェアを含む主要なシステムコンポーネントのセキュリティに関するより詳細な調査の必要性を強調しています。
スライド: invisiblethingslab.com/resources/bh09usa/Ring%20-3%20Rootkits.pdf
コード:近い将来
Intel BIOSを攻撃する
このプレゼンテーションでは、最新のIntel Q45マイクロチップに基づいてデスクトップシステムでIntel BIOSをフラッシュする方法について説明します。
この作業は、最も安全なvPro互換BIOSを対象としています。これにより、サプライヤからのデジタル署名を持つファームウェアのみを使用できます。 この作業では、複雑なヒープオーバーフローを使用するエクスプロイトを使用して、このテストを回避する方法を示します。
攻撃を実行するには、管理者権限と1回の再起動が必要です。 ユーザーからの特定のアクションや同意の実行、およびマシンへの物理的なアクセスは必要ありません。
この攻撃は、信頼性の高いブートを保証する他の手段( TPMなど )の重要性と、メインシステムソフトウェアおよびファームウェア(ファームウェア)のより詳細な調査の重要性を強調しています。
スライド: invisiblethingslab.com/resources/bh09usa/Attacking%20Intel%20BIOS.pdf
コード:近い将来