Rootkits
2008-05-13
SMM rootkit PoC demo at Black Hat 08
Sherri Sparks và Embleton sẽ demo bản SMM (System Management Mode) rootkit tại Black Hat 2008 sắp tới. Đây là loại rootkit sẽ rất khó phát hiện, khó hơn việc phát hiện virtualization rookit do SMM rootkit có thể lock SMRAM lại và khi đó chỉ BIOS mới có thể truy cập SMRAM.
FYI, với kiến trúc x86 thì để thay đổi SMI handler (cho rootkit) chỉ có 2 cách hoặc là patch BIOS hoặc thay đổi trực tiếp từ SMRAM nếu D_LCK bit không được set. Ngoài ra ITP (In-Target Probe) cũng có thể được dùng để thay đổi SMRAM hay debug SMI. Theo thông tin riêng tôi biết từ tác giả của SMM rookit sẽ được trình bày tại BlackHat 08 sắp tới thì họ tận dụng lỗi cũ của chipset được công bố năm 2006 khi không khóa vùng nhớ SMRAM. Duflot đã trình bày việc tận dụng lỗi này để phá lớp bảo vệ của OpenBSD secure levels tại CanSecWest 2006. BSDaemon cũng đã đề cập một phần về chủ đề này tại VNSECON 07 và viết một bài nghiên cứu về việc này trên Phrack Magazine.
Cấu hình của chipset sau này mặc định D_LCK sẽ được bật nên SMRAM sẽ không thể truy cập và thay đổi trừ khi patch lại BIOS. Yuriy của Intel Security Center of Exellence cũng sẽ trình bày tại BlackHat 08 sắp tới một giải pháp để phát hiện virtualization rookit sử dụng bộ vi xử lý riêng nhúng trong MCH (northbridge). Giải pháp này cũng có thể được sử dụng để phát hiện SMM rootkit.
Links:
