Nei primi giorni c'era una mancanza di controllo degli accessi sulla procedura di reflash del BIOS che poteva introdurre Rootkit nel BIOS, chip fl ash senza accesso alla root richiesto. In un attacco molto più recente, il malware Mebromi ha riscritto il BIOS di una macchina con codice che avrebbe poi scritto una tipica routine di infezione Master Boot Record nel primo settore del disco. Ciò ha permesso al malware di persistere anche se il disco rigido è stato sostituito o formattato. Tutti gli attacchi precedenti sul BIOS si basavano sul fatto che il Bios non era protetto e facilmente scrivibile e non richiedeva accesso a livello di root
- Disabilitare l'accesso root non può impedire a questi bootkits o rootkit di raccogliere o password root più forti perché ci sono diversi modi in cui possono infettare
- mostra il BIOS tramite USB CD (core boot e PCI rom come IPXE)
- Avvia un payload sulla rete BOOTKIT > Nessuna radice richiesta
- Avvia un payload su wifi / Wimax > nessuna radice richiesta
- Rifletta in remoto la scheda Bios / Network, se necessario > nessuna radice richiesta
Alcune funzionalità di questi moderni rootkit BIOS / firmware hanno
-
Rimuove il bit NX
-
Rimuove gli aggiornamenti della CPU (Microcodice)
-
Rimuove le protezioni SMM > SMM Utilizzato per ottenere l'accesso allo squillo 0
-
Disabilita ASLR
-
rimuove la protezione per consentire alle procedure del supervisore di scrivere in pagine di sola lettura
Poiché esistono tecniche / exploit per consentire la scrittura remota su BIOS / firmware come discusso da Blackhat Rakshasa Bootkit nel 2012
Blackhat
Inoltre, la presenza di avvio sicuro e avvio affidabile in Windows 8.1 ci protegge dai vecchi attacchi del BIOS / backdoor, tuttavia, come indicato nella recente ricerca
link è ancora possibile l'avvio di utenti malintenzionati / furbi attacchi