»Новости отрасли - Исследователь безопасности продемонстрировал возможность внедрения руткитов в сетевые карты » https://www.infosecuritymoscow.com/page.php?id=282 |
Автор: , Отправлено: 2011-01-22 17:55. |
Гийом Делугре, специалист по реверсинженерингу французской компании Sogeti ESEC, создал proof-of-concept код после изучения встроенных сетевых карт Broadcom Ethernet NetExtreme PCI Ethernet. Он использовал доступные документы и открытые ресурсы для разработки дебаггера прошивки. Он также произвел реверсинженеринг формата EEPROM, в котором хранится прошивка, а так же как процесс загрузки устройства. Используя эти знания, Делугре смог разработать собственную прошивку с кодом, который обрабатывает процессором сетевой карты. Такая техника открывает возможности для создания руткитов, работающих внутри самой сетевой карты, что дает потенциальным преступникам преимущество перед обычными бэкдорами. Важным является и тот факт, что операционная система может не обнаружить следа такого руткита, поскольку он спрятан в интерфейсе сетевой карты. "Сетевая карта нуждается в получении прямого доступа к памяти (DMA) для обмена данными между устройством и драйвером", - объясняет Делугре. "С точки зрения прошивки, все управляется специально предназначенными для этого регистрами устройства, которые не всегда задокументированы. Взломщик сможет удаленно управлять руткитом в сетевой карте и получить доступ к базовой ОС благодаря DMA". Делугре представил свое исследование на сайте hack.lu. Статья, посвященная его исследованию, вместе со слайдами презентации и демо, были опубликованы в понедельник здесь. Источник: Xakep.ru |