Intel faculta ferramenta de detecção de rootkits EFI

Depois das últimas revelações da Wikileaks, sobre a actividade da CIA, a Intel Security passou a disponibilizar um novo módulo para a sua matriz CHIPSEC, capaz de descobrir código binário nocivo no firmware de computadores.

codigo_segurancaA Intel Security passou a facultar uma ferramenta para verificar se os níveis de firmware baixos de sistemas foram modificados e contêm código não autorizado. O lançamento ocorre depois de vários documentos da CIA terem sido publicados na última terça-feira e revelarem que a agência desenvolveu “rootkits EFI (Extensible Firmware Interface) para Macbooks.

Os documentos do ramo “Embedded Development”, da CIA, mencionam um “implante” para OS X, chamado DerStarke, que inclui um módulo de injeção de código de núcleo, denominado Bokor e um módulo de persistência EFI, referido como DarkMatter. O EFI, também conhecido como UEFI (Unified EFI), constitui o nível de firmware baixo, executado antes do sistema operativo e faz a inicialização os vários componentes de hardware, durante o processo de arranque do sistema.

Acabou por substituir a BIOS, elemento mais antigo e muito mais básico e assemelha-se a um mini sistema operativo e pode ter centenas de “programas” para diferentes funções, implementados como executáveis binários. Um programa malicioso escondido no EFI pode injectar código malicioso no núcleo de um sistema operativo e pode restaurar qualquer malware que tenha sido removido do computador.

Isso permite aos rootkits sobreviverem às principais actualizações do sistema e mesmo re-instalações do mesmo. O QuarkMatter é descrito como um “implante Mac OS X EFI que usa um driver EFI armazenado na partição do sistema EFI para fornecer persistência a um implante de ‘kernel’ arbitrário”.

O novo módulo CHIPSEC permite ao utilizador obter uma imagem EFI limpa, do fabricante do computador, extrair o seu conteúdo e criar uma “lista branca” dos ficheiros contidos.

A equipa de pesquisa avançada sobre ameaças da Intel Security criou um novo módulo para sua matriz de open source, CHIPSEC, existente para detectar esses códigos binários EFI, nocivos. A estrutura consiste num conjunto de ferramentas para linhas de comando, que usam interfaces em baixo nível para analisar os componentes de hardware, firmware e a plataforma de um sistema.

Pode ser executada a partir do Windows, Linux, MacOS e até de um ‘shell’ EFI. O novo módulo CHIPSEC permite ao utilizador obter uma imagem EFI limpa, do fabricante do computador, extrair o seu conteúdo e criar uma “lista branca” dos ficheiros contidos.

Assim, permite depois comparar essa lista com o EFI actual do sistema ou com uma imagem EFI previamente extraída de um sistema. Se a ferramenta encontrar quaisquer ficheiros binários que não correspondam à lista EFI limpa, é possível que o firmware tenha sido infectado.

Os ficheiros nocivos são listados e podem ser analisados posteriormente.




Deixe um comentário

O seu email não será publicado