Исследователь безопасности продемонстрировал возможность внедрения руткитов в
сетевые карты.
Гийом Делугре, специалист по реверсинженерингу французской компании Sogeti
ESEC, создал proof-of-concept код после изучения встроенных сетевых карт
Broadcom Ethernet NetExtreme PCI Ethernet.
Он использовал доступные документы и открытые ресурсы для разработки
дебаггера прошивки. Он также произвел реверсинженеринг формата EEPROM, в котором
хранится прошивка, а так же как процесс загрузки устройства.
Используя эти знания, Делугре смог разработать собственную прошивку с кодом,
который обрабатывает процессором сетевой карты. Такая техника открывает
возможности для создания руткитов, работающих внутри самой сетевой карты, что
дает потенциальным преступникам преимущество перед обычными бэкдорами.
Важным является и тот факт, что операционная система может не обнаружить
следа такого руткита, поскольку он спрятан в интерфейсе сетевой карты.
"Сетевая карта нуждается в получении прямого доступа к памяти (DMA) для
обмена данными между устройством и драйвером", - объясняет Делугре. "С точки
зрения прошивки, все управляется специально предназначенными для этого
регистрами устройства, которые не всегда задокументированы. Взломщик сможет
удаленно управлять руткитом в сетевой карте и получить доступ к базовой ОС
благодаря DMA".
Делугре представил свое исследование на сайте hack.lu. Статья, посвященная
его исследованию, вместе со слайдами презентации и демо, были опубликованы в
понедельник
здесь.
