Badacze bezpieczeństwa zaprezentowali nowatorską technikę o nazwie „Cień bios„Umożliwia to złośliwe oprogramowanie całkowicie działające w podstawowym oprogramowaniu komputerowym, udzielając tradycyjnych środków bezpieczeństwa bezsilne. Kazuki Matsuo z FFRI Security szczegółowo opisuje metodę na Black Hat 2025, podkreślając jego bezprecedensowe możliwości unikania, całkowicie omijając system operacyjny (OS).
BIOS CHOOS zasadniczo różni się od konwencjonalnych UEFI (Unified Extensible Armywate Interface), takich jak rootkits lub bootkits. Podczas gdy złośliwe oprogramowanie UEFI wykorzystuje trwałość oprogramowania układowego do uruchomienia przed załadowaniem systemu operacyjnego, ostatecznie opiera się na systemie operacyjnym do interakcji ze sprzętem i wykonywaniem złośliwych zadań – eksponując je na antywirus, wykrywanie punktu końcowego (EDR/XDR) i narzędzia bezpieczeństwa systemu operacyjnego. BIOS Shade eliminuje tę zależność, umożliwiając atakującym uruchamianie złośliwego kodu wyłącznie w środowisku BIOS nawet po butach systemu operacyjnego.
Historycznie, relacje systemu operacyjnego UEFI MAWWAWE stwarza luki w zabezpieczeniach. Atakujący muszą przewidzieć i wyłączyć określone programy bezpieczeństwa podczas uruchamiania – złożone zadanie wymagające znajomości sterowników i mechanizmów jądra. Matsuo zauważa, że żadne istniejące złośliwe oprogramowanie UEFI nie omija krytycznej obrony systemu Windows, takich jak śledzenie zdarzeń dla Windows (ETW). Ponadto wyłączenie wszystkich narzędzi bezpieczeństwa prawdopodobnie ostrzegałoby użytkowników. BIOS cienia obchodzi te problemy, działając niezależnie, czyniąc złośliwe działania niewidoczne dla ochrony poziomu OS.
Wykonanie techniczne
Przełom polega na oszukiwaniu ładowarki systemu operacyjnego podczas uruchamiania. Gdy kontrola przesuwa się z BIOS na system operacyjny, UEFI zazwyczaj niszczy zasoby oprogramowania układowego. BIOS cienia obala to, zmieniając mapę pamięci UEFI – komponent opisujący przydział pamięci. „Oszukuję ładowarkę systemu operacyjnego, zmieniając mapę pamięci”, wyjaśnia Matsuo. Manipulowana mapa przekonuje ładowarkę, że regiony BIOS muszą pozostać aktywne w czasie wykonywania OS, zachowując funkcje BIOS w pamięci.
Stwarza to równoległe, ukryte środowisko podobne do „miniaturowego systemu operacyjnego”, w którym złośliwe oprogramowanie działa przy użyciu protokołów specyficznych dla BIOS (np. I/O dysku) zamiast standardowych interfejsów OS. Złośliwe oprogramowanie można zapisać w C, wykorzystując sterowniki BIOS do zadań takich jak tworzenie plików. Matsuo twierdzi, że takie podejście jest potencjalnie prostsze niż opracowanie tradycyjnych bootkitów UEFI: „Nie wymaga binarnej manipulacji, haczyków ani dopasowywania wzorów”.
BIOS cienia stanowi uniwersalne zagrożenie z powodu standaryzacji UEFI. Opracowane przez złośliwe oprogramowanie działałoby identycznie na komputerach, serwerach i płytach głównych-nie odpowiadając adaptacji specyficznej dla sprzętu. Wykrywanie jest wyjątkowo trudne, ponieważ oprogramowanie bezpieczeństwa nie może zeskanować środowiska wykonawczego BIOS. Jedyną obroną jest proaktywna, nieplanowana zrzucanie pamięci i analiza w celu zidentyfikowania podejrzanego kodu – nawet bez uprzedniego podejrzenia kompromisu.
Matsuo zademonstruje analizę pamięci za pomocą narzędzia open source „Kraftdinner” w Black Hat 2025 w celu usprawnienia wykrywania. Podkreśla jednak, że ataki BIOS Shade pozostają niszowe, przede wszystkim istotne dla kontekstów bezpieczeństwa: „Zagrożenia UEFI nie są tak naprawdę popularne poza bezpieczeństwem narodowym”. Technika ta jest najbardziej istotna dla agencji rządowych podczas inspekcji zamówień na komputery, aby odkryć backdoors oprogramowania układowego.
Badanie to podkreśla krytyczną ewolucję w możliwościach ofensywnych-trwałość oprogramowania Malware całkowicie rozwiedli się od OS-przynosząc nowe paradygmaty obronne dla celów o wysokiej wartości.
Source: Nowe złośliwe oprogramowanie ukrywa się w mózgu komputera
