В своем докладе на конференции Black Hat Federal эксперт по безопасности Джон
Хисмен поведал слушателям о том, что система управления питанием и настройками (Advanced
Configuration and Power Interface, ACPI), реализованная в большинстве систем
ввода-вывода (BIOS) современных материнских плат, может быть использована для
внедрения вредоносных программ на компьютер. В 1998 году вирусы winCIH и
"Чернобыль" могли лишь засорить флэш-память BIOS, что приводило к выходу
компьютера из строя. Теперь для работы с ACPI используется высокоуровневый
интерпретируемый язык программирования, который можно использовать для написания
полноценных руткитов. Такие руткиты могут представлять намного большую
опасность, так как не зависят от установленной операционной системы. В
презентации Хисмена был наглядно продемонстрирован код, позволяющий программе,
проникшей в BIOS, взаимодействовать как с различными версиями Windows, так и с
Linux. Естественно, полностью подобная программа поместиться в память BIOS не
может, поэтому использует механизм перехвата управления при загрузке компьютера.
Естественно, для разработчиков системных плат урок эпидемии "Чернобыля" не
прошел даром. С той поры подавляющее большинство современных плат снабжено
перемычкой, блокирующей запись в память BIOS, но потенциальная возможность того,
что эта перемычка будет установлена (производителем или владельцем карты) в
положение, разрешающее запись, все же существует. В докладе приводится пример,
когда вредоносная программа внедряется в личный ноутбук служащего, а потом при
подключении к рабочему компьютеру заражает корпоративную сеть и предоставляет
злоумышленнику доступ к секретным данным. Приводятся и примеры алгоритмов,
которые могут помочь антивирусам отследить подобную угрозу.
