Хрстиан Бик (Chrstiaan Beek) из Rapid7 написал пробный код программы-вымогателя, которая может атаковать ваш процессор, и предупреждает о будущих угрозах, которые могут заблокировать ваш диск до тех пор, пока за него не будет заплачен выкуп. Эта атака обойдет большинство традиционных способов обнаружения вымогательского ПО.
В интервью The Register Бик, старший директор Rapid7 по анализу угроз, рассказал, что ошибка в чипе AMD Zen натолкнула его на мысль о том, что высококвалифицированный злоумышленник теоретически может «позволить злоумышленникам загружать в процессоры несанкционированный микрокод, взламывать шифрование на аппаратном уровне и изменять поведение процессора по своему усмотрению». Команда безопасности Google ранее обнаружила уязвимость в процессорах AMD Zen 1 - Zen 4, которая позволяет пользователям загружать неподписанные патчи микрокода.
Позже выяснилось, что уязвимость затрагивает и процессоры AMD Zen 5. К счастью, проблему можно устранить с помощью нового микрокода, как и предыдущую нестабильность Raptor Lake. Однако Бик увидел свою возможность. Будучи специалистом по безопасности прошивок, я подумал: «Ух ты, кажется, я могу написать выкупное ПО для процессоров», и именно это он и сделал. Согласно отчету, Бик действительно написал пробный вариант кода для программ-вымогателей, которые могут прятаться в процессоре.
Правда, он обещает, что они его не выпустят. Согласно отчету, Бик считает, что этот тип эксплойта может привести к худшему сценарию: «Ransomware на уровне процессора, изменение микрокода, и если вы находитесь в процессоре или прошивке, вы обойдете все чертовы традиционные технологии, которые у нас есть». Бик также сослался на утечку комментариев банды разработчиков вымогательского ПО Conti, которые появились в 2022 году. В презентации, представленной на RSAC, он привел записи чатов этой группы.
«Я работаю над PoC, в котором программа-вымогатель устанавливается в UEFI, так что даже после переустановки Windows шифрование остается», - говорится в одном из них. Другой отметил, что с помощью модифицированной прошивки UEFI «мы можем запустить шифрование еще до загрузки ОС. Ни один антивирус не может обнаружить это». Итог? «Представьте, что мы контролируем BIOS и загружаем собственный загрузчик, который блокирует диск до тех пор, пока не будет выплачен выкуп», - предположил один из хакеров.
Бик предупреждает, что если плохие игроки работали над этими эксплойтами несколько лет назад, то «можно быть уверенным, что в какой-то момент кто-то из них станет достаточно умным и начнет создавать подобные штуки». В завершение интервью Бик выразил свое разочарование тем, что «мы не должны говорить о выкупном ПО в 2025 году», и заявил, что все заинтересованные стороны должны объединить усилия, чтобы исправить основы аппаратной безопасности. Он также выразил сожаление по поводу того, что многие взломы, связанные с вымогательством, происходят из-за уязвимостей высокого риска, слабых паролей, отсутствия аутентификации и т. д.
Оригинал
Уникальность
