Archivo

Posts Tagged ‘rootkits’

Presentan Rootkit para Mac en #BlackHat

agosto 3, 2012 Los comentarios están cerrados

En la conferencia de seguridad BlackHat el investigador de seguridad australiano Loukas K. (Snare) demostró un rootkit para Mac (PDF explicativo aquí).

En este caso, es la aplicación maliciosa se base en un ataqe al protocolo Extensible Firmware Interface (EFI), que ha sido implementado por un gran número de fabricantes de motherbase, para sustituir a la clásicas BIOS.

El rootkit es capaz de inyectarse en el firmware EFI de un MacBook Air y saltear el sistema de cifrado FileVault del disco duro. Aunque la idea de un rootkit en EFI no es nuevo, esta es la primera vez que se ha demostrado en vivo y el hacker ha utilizado un método hasta ahora desconocido sobre la base de modificar una placa Eternet Thunderbolt.

Desde el punto de vista de un atacante, un rootkit insertado en la BIOS EFI tiene algunas ventajas importantes. El código malicioso sobrevive al reiniciar el sistema, es capaz de saltarse el cifrado del disco, no tiene que realizar cambios en el sistema de archivos disco duro, y sin embargo está en condiciones de modificar el núcleo del sistema operativo al arrancar el mismo. La infección requiere acceso físico a la computadora.

Dependiendo de los puertos disponibles en el sistema, un atacante puede insertar una unidad flash USB o elegir el nuevo método a través del adaptador Ethernet.

Fuente: Segu-Info

Anuncios
Categorías:Noticias, Pentesting Etiquetas: , ,

Rakshasa: un rootkit permanente para hardware

agosto 3, 2012 Deja un comentario

Jonathan Brossard, de la firma francesa de seguridad Toucan System, ha presentado en BlackHat y Defcon un malware capaz de tomar el control de la BIOS de al menos 100 motherboards [PDF].

El malware es indetectable en el BIOS y la única forma de eliminarlo sería volver a actualizar el BIOS y, si además, los dispositivos periféricos también están infectados, podrían volver a infectar a la placa base. La única manera de garantizar la limpieza de un sistema infectado sería volver a actualizar tanto la placa base y todos los periféricos, al mismo tiempo, algo claramente más allá del usuario promedio.

Dado que el malware se encuentra en, o sustituye el BIOS, el malware tiene el control sobre el equipo antes de que el sistema operativo se cargue. Todo lo que es parte del sistema operativo puede ser controlado, el cifrado puede apagarse mientras el usuario cree que que está funcionando, el firewall puede ser traspasado y el software antivirus no tiene sentido.

En esencia es indetectable, ya que no deja ninguna huella en los archivos, en el disco duro o en memoria, a diferencia de otros programas maliciosos como los bootkits que se almacenan en la Master Boot Record (MBR) y en consecuencia eran fáciles de detectar. Rakshasa descarga el bootkit en memoria RAM cada vez que se inicia el equipo y luego se elimina de la memoria RAM sin dejar rastro alguno.

Si bien este no es primer acercamiento al tema y el virus CIH ya fue capaz de infectar un BIOS en 1998, esta nueva prueba de concepto abarcaría mayor cantidad de fabricantes y podría suponer una nueva etapa en el diseño de malware.

Fuente: http://blog.segu-info.com.ar/2012/08/rakshasa-un-rootkit-permanente-para.html