На конференции Black Hat австрийский IT-специалист Петер Кляйснер представил
буткит под названием
Stoned, который способен обходить раздел жесткого диска TrueCrypt и
системное шифрование. Буткит объединяет в себе руткит и способность
модифицировать основную загрузочную запись (Master Boot Record), что позволяет
активировать вредоносное ПО еще до старта операционной системы.
Доступный в виде исходных кодов, буткит Кляйснера способен заражать 32-битные
версии всех ОС Windows, начиная с Windows 2000 и заканчивая Windows Vista, а
также кандидат на релиз Windows 7. Stoned вставляет себя в основную загрузочную
запись (MBR) – область, остающуюся незашифрованной, даже если весь остальной
жесткий диск зашифрован полностью. Во время запуска BIOS сперва обращается к
буткиту, который в свою очередь запускает загрузчик TrueCrypt. По словам
Кляйснера, для обхода механизма защиты TrueCrypt ему не пришлось видоизменять ни
хуки, ни сам загрузчик. Вместо этого буткит перенаправляет прерывание
ввода-вывода 13h, что позволяет ему вставить себя между вызовами Windows и
TrueCrypt. Создать буткит для TrueCrypt Кляйснер смог, используя открытый
исходный код TrueCrypt.
После загрузки операционной системы при помощи Stoned можно устанавливать и
использовать различные вредоносные программы, такие например, как банковские
трояны. Петер Кляйснер, которому сейчас всего 18 лет, разработал также
функционирующий при загрузке взломщик паролей и методику для заражения BIOS,
причем предоставленный им интерфейс разработки позволяет другим программистам
создавать свои собственные плагины для буткита. Кляйснер считает, что Stoned мог
бы быть интересен и спецслужбам, например - при разработке государственного
трояна.
По словам этого молодого человека, после установки буткит Stoned нельзя
обнаружить традиционными антивирусными программами, поскольку он не производит
никаких изменений компонентов Windows в памяти, работая параллельно с ядром
Windows. Остановить буткит не способны даже антивирусные функции BIOS, поскольку
современные операционные системы Windows модифицируют MBR, не обращаясь к BIOS.
Тем не менее, для успешного заражения необходимо иметь права администратора
или физический доступ к системе, плюс к этому, уязвимыми в настоящий момент
являются лишь компьютеры с традиционной BIOS, поэтому атака не удастся, если в
материнской плате работает преемник BIOS, Extensible Firmware Interface (EFI). В
связи с этим самым эффективным механизмом защиты представляется шифрование всего
диска программным обеспечением на основе платформы Trusted Platform Module (TPM).
Например, использование собственного механизма шифрования Windows под
названием BitLocker является эффективным противоядием, поскольку хэш
инфицированной MBR в таком случае больше не будет совпадать с хешем, хранящимся
в TPM, что позволит TPM остановить процесс загрузки. Кроме того, Кляйснер не
смог ответить на вопрос о том, способен ли предотвратить инфекцию аппаратно
зашифрованный жесткий диск.
