Rootkt in bios

heb je aanwijzingen om te geloven dat je BIOS is geïnfecteerd?

Verwijderd schreef op zaterdag 13 oktober 2012 @ 17:29:
[...]


Nee ik heb niet echt problemen met mijn pc ik wil alleen meer informatie over rootkits in de bios en wat je hier aan kunt doen om het te voorkomen dat je geinfecteerd word.
En hoe groot de kans nu is dat je een rootkit oploopt.

De kans is redelijk klein dat je een rootkit in de bios krijgt, dat komt doordat er zoveel moederborden met biossen zijn dat het weinig oplevert om een rootkit ervoor te maken. Apple gebruikers zijn het meest vatbaar, omdat die allemaal dezelfde bios gebruiken (meestal dan)

Koenvh schreef op zaterdag 13 oktober 2012 @ 17:32:
[...]

De kans is redelijk klein dat je een rootkit in de bios krijgt, dat komt doordat er zoveel moederborden met biossen zijn dat het weinig oplevert om een rootkit ervoor te maken. Apple gebruikers zijn het meest vatbaar, omdat die allemaal dezelfde bios gebruiken (meestal dan)

Ik sluit me hier volledig bij aan.

Daarnaast, juist omdat er zoveel moederborden zijn met verschillende biossen is het denk ik moeilijk na te gaan of je geinfecteerd bent.

maar zou een password een rootkit voorkomen?

Nee, dat voorkomt het niet.

Waarom niet? Simpele redenen:

- Een eeprom flash vanaf een draaiend OS vereist altijd hoogste previleges (ring 0)
- Hoogste previlieges kunnen op twee manieren verkregen worden:
• gebruiker staat het toe d.m.v. wachtwoord of UAC of is al admin / root
• previlege escalation bug/exploit maakt het 'zonder vragen' mogelijk

In principe kan elk soort malware dat jou, als gebruiker zo ver krijgt om zonder exploit toch rechten te krijgen in staat je firmware te misbruiken om rootkits te dumpen.

Wat niet mogelijk is, is zonder previleges een rootkit flashen. Waarom niet? Om dat je in principe nooit in ring 0 draait, en als je dat wel doet, draai je zo'n obscuur OS dat de kans klein is dat je een algemeen doelwit bent.


Daarnaast:

Rootkit in firmware (BIOS, EFI, Option ROM enz.) kan meerdere M.O.'s bevatten:

- Dingen doen buiten OS om, dus in de firmware omgeving zelf draaien
- OS bij elke boot opnieuw infecteren
- Exploit / Backdoor calls beschikbaar maken voor rootkit in OS

Hoe de rootkit werkt is afhankelijk van de gebruikte methode:

- In Option ROM, wordt uitgevoerd bij POST tijdens BIOS start of BIOS Emulatie start in EFI
- In EFI, als module of als hook
- In BIOS, als module of als hook

Option ROM's kunnen ook weer meerdere dingen zijn, kan op dezelfde chip als je BIOS, CMOS geheugen of kan in dingen als RAID kaartjes, netwerkkaartjes enz. zitten als daar een flashbare chip op zit..

Uiteindelijk maakt het niet uit waar het probleem zit: als je geinfecteerd bent zal je altijd de hele ketting langs moeten om te kijken waar, waardoor, en hoe je geinfecteerd bent. Dat betekent dat je hardware, firmware, os, userspace allemaal langs moet.

Zelf kan je niks doen tegen een firmware rootkit aanval: als je OS gecompromitteerd is, of een firmware update die je gaat downloaden dat al is, kan je het zelf niet tegen houden. Op z'n best kan je na infectie de rootkit verwijderen.

[ Voor 136% gewijzigd door johnkeates op 13-10-2012 17:47 ]

TS heeft geen BIOS, maar een UEFI. En zoals eerder gesteld: een virus schrijven wat ongemerkt door alle sandbox/UAC/flash lagen heen gaat wat voor alle verschillende moederborden werkt... is erg knap.

Ga eens na wat er komt kijken bij een bios flashen. Vanuit je main-OS heb je om te beginnen behoorlijk diepe kernel access nodig... en dat kan alleen met een signed driver voor je proces. Iedereen die wel eens met de Windows Driver Kit heeft gewerkt weet hoe lastig het is om een driver te ontwikkelen/bouwen om ook maar iets diep op de hardware te doen. Het OS is meestal uit zichzelf al goed afgeschermt tenzij je zelf met non-Windows flashers per ongeluk de rootkit er op flashed denk ik dus niet dat je een probleem hebt.

En zelfs MET rootkit... wat is je risico? Het OS neemt veel taken al snel over en dan kan je UEFI/BIOS niet veel meer doen met je hardware. Wat wou je doen, keyloggen?

Op verzoek verwijderd