понедельник, 6 октября 2014 г.

"Bootkits: past, present & future" на Virus Bulletin 2014


В конце сентября мне довелось побывать в очередной раз на конференции Virus Bulletin, в этот раз она проходила в Сиэтле. Конечно сейчас я уже несколько отдалился от антивирусной тематики и несколько другим взглядом смотрел на это мероприятие. Ну давайте обо всем по порядку. 

Итак, я с коллегами из ESET в этом году представлял исследование "Bootkits: past, present & future". В первой части доклада использовались материалы исследований по буткитам для MBR/VBR, которые были проведены в рамках моей работы в ESET. А во-второй части уже присутствовала львиная доля материала, которая была исследована в рамках работы команды Intel Advanced Threat Research, частью которой я являюсь уже около года. Туда вошли проблемы связанные с безопасностью современных BIOS с поддержкой UEFI. Я не буду сильно распыляться по этой теме, так как многое уже была сказано в рамках доклада команды Intel ATR на DEFcon. А так же рекомендую ознакомиться с нашей статьей по этой теме, включенной с сборник публикаций Virus Bulletin 2014. 



Слайды нашего доклада выглядели следующим образом:



Проблем с безопасностью у современных BIOS довольно много и тут начинается все с того, что нет единой унифицированной системы обновлений, как например в современных ОС. Каждый вендор разрабатывает свой велосипед и сам устанавливает сроки обновлений. Из-за этого если кто-то один исправляет уязвимость не специфическую для одного вендора, то получается эдакий 1/0-day, который может быть выявлен вдумчивым дифом обновлений с сайта самого вендора. Собственно, уже даже существуют автоматизации для поиска подобного рода брешей, например, Subzero от Teddy Reed. Так что аргумент, что BIOS уязвимости дорогого стоят и поэтому могут используются в исключительно сложных атаках, уже не катит. Более того в современных BIOS не такая агрессивная среда к эксплуатации уязвимостей, как на уровне ОС, и разработать эксплойт здесь намного проще.

Еще одна проблема — это поиск уже внедренных буткитов и в принципе форенсика для BIOS. На сегодняшний день автоматизированного инструментария на этот счет просто нет. Аналитику придется практически делать все вручную, что тоже приводит как минимум к непредсказуемым временным затратам. А результат будет базироваться на субъективном мнении аналитика. Пожалуй здесь стоит отметить наш инструмент CHIPSEC, который не был создан только для форенсики, а скорее некоторый функционал по форенсике получился из-за необходимости решения задач для проверки и поиска уязвимых в firmware. Но все же там есть на что посмотреть на этот счет и в дальнейшем мы планируем расширения возможностей в этом направлении.

Еще мне хотелось бы отметить доклад "Into the unknown: how to detect BIOS-level attackers", так же о проблемах безопасности современных BIOS, который прозвучал со стороны MITRE и был представлен Xeno Kovah.

А кулуарах после доклада мне довелось пообщаться со многими представителями уважаемых вендоров и в дискуссии о озвученных мной проблемах чаще всего звучал вопрос: Ну покажите мне хотя бы одну реальную атаку и сэмпл буткита или на худой конец зараженный BIOS? Господа, а вам не кажется, что когда информация о такого рода атаках дойдет до публичности и СМИ, то уже как-то немного поздновато будет думать на этот счет. Опять же многие прикрываются тем, что MS активно развивает технологию Secure Boot и в чем-то они конечно правы, но в этом и прошлом году было показано большое количество BIOS уязвимостей, которые позволяют обойти Secure Boot. Я тут, пожалуй, могу провести показательную параллель с буткитами для MBR/VBR, которые стали активно проявлять лишь спустя несколько лет после первых публичных демонстраций данных технологий ресечерами. Пожалуй, новым витком развития буткитов как раз может послужить необходимость обхода Secure Boot, которая будет назревать с увеличением доли инсталляций Win8 и более новых версий. Ну поживем увидим, это пока лишь мои личные домыслы и размышления, не подкрепленные фактами ;)

А теперь пару слов об организации конференции, как всегда организаторами был выбран шикарный отель в центре города. На этот раз был Сиэтл, а мне достался отличный номер на 30-ом этаже с видом на океан и центр города.


Но меня поражает тот факт, что организаторы конференции придерживаются многолетней политики минимальной компенсации спикирам расходов. Например, со стороны организаторов покрывается только один бейдж (проход на конференцию) на каждый доклад и если доклад делается нескольким спикерами, то всем остальным придется, либо забить, либо платить самим все расходы. По поводу оплаты расходов на отель и поездку тут вообще речь не идет. На мой взгляд подобного рода политика создает искусственную изоляцию данной конференции от большинства исследователей, так как, если нет какого-то специального бизнес-кейса, то лучше поехать на другую конференцию, где все компенсируется и представить свой доклад там. Поэтому получается, что VB это такой междусобойчик между антивирусными вендорами с довольно низким уровнем качества докладов в большинстве случаев. Вероятнее всего это был мой последний VB, благо мне не нужен был перелет и Сиэтл лишь в трех часах езды от меня. 

Ну и на последок совместное фото всех докладчиков конференции: