май 14, 2025

Нещо ново: рансъмуер, който работи директно в процесора

Актуализациите на микрокода традиционно се използват от производителите на чипове за отстраняване на грешките и подобряване надеждността на процесора. Този слой от ниско ниво между хардуера и машинния код обаче може да се използва и за злонамерени цели, например за скрито въвеждане на зловреден софтуер, който заобикаля всички софтуерни защити.

Аналитикът от Rapid7 Кристиан Бейк е разработил концептуална програма за това как актуализациите на микрокода могат да бъдат „използвани като оръжие“ за инсталиране на рансъмуер директно в процесорите. Тази разработка е вдъхновена от уязвимост в процесорите Zen на AMD, която изследователите на Google откриха по-рано тази година. Уязвимостта позволяваше да се модифицира поведението на инструкцията RDRAND и да се инжектира персонализиран микрокод, който например винаги връщаше числото „4“ при генериране на случайни данни.

Въпреки че актуализациите на микрокода трябва да се разпространяват единствено от производителите на процесори и да се инсталират само на съвместими модели, описаният случай показва, че манипулирането на този процес, макар и изключително трудно, е технически възможно. Имайки опит в областта на сигурността на фърмуера, Бейк решава да демонстрира как би могъл да изглежда един рансъмуер на ниво процесор.

Според изданието The Register изследователят е създал демонстрационна версия, в която злонамереният полезен товар е скрит в самия процесор. Той нарича резултата от работата си „очарователен“, но обещава да не публикува кода и подробностите по изпълнението, за да попречи на киберпрестъпниците да повторят експеримента.

Въпреки това Бейк подчертава, че тези заплахи не са чисто теоретични. Така например добре познатият бууткит BlackLotus е в състояние да зарази дори системи с активирана защита Secure Boot чрез модифициране на UEFI фърмуера. Освен това Бейк цитира откъси от изтекла вътрешна кореспонденция от хакерската група Conti през 2022 г.: нападателите са обсъждали възможността за създаване на рансъмуер, който се зарежда директно от UEFI.

„Ако модифицираме UEFI, криптирането от страна на рансъмуера може да се задейства преди зареждането на операционната система. Никоя антивирусна програма няма да види това“, твърди групата.

При наличието на подходяща уязвимост, която позволява изтеглянето на неподписани актуализации на фърмуера, подобна атака би могла да се реализира без особени трудности.

Според Бейк, ако преди няколко години опитните хакери са се заели сериозно с тази тема, някои от тях вече са щели да успеят да постигнат успех. Той също така разкритикува ИТ индустрията, че се е увлякла твърде много по модни тенденции като изкуствения интелект и чатботовете за сметка на базовата киберсигурност. Междувременно групите, занимаващи се с рансъмуер, продължават да печелят милиарди от слаби пароли, критични уязвимости и лошо прилагане на двуфакторната автентификация.

source

Сподели: