Что -то новое: вымогатели, которое работает непосредственно в процессоре
Обновления микрокода традиционно использовались производителями производителей для исправления ошибок и повышения надежности процессора. Тем не менее, этот уровень низкого уровня между аппаратным обеспечением и машинным кодом также может использоваться для вредоносных целей, таких как скрытое введение вредоносного ПО, которое окружает всю защиту программного обеспечения.
Аналитик Rapid7 Кристиан Бейк разработал Концептуальная программа о том, как обновления MicroCode можно «использовать в качестве оружия» для установки Ranomware непосредственно в процессорах. Эта разработка вдохновлена уязвимостью в процессорах Zen Zen, которые исследователи Google обнаружили ранее в этом году. Уязвимость позволила изменению поведения инструкции RDRAND и вводить персонализированный микрокод, который, например, всегда возвращал число «4» при создании случайных данных.
Хотя обновления микрокода должны распределяться только производителями процессоров и устанавливаться только на совместимые модели, описанный случай указывает, что Манипулирование этим процессом, хотя и чрезвычайно сложным, технически возможно. Имея опыт работы в области безопасности прошивки, Bake решает продемонстрировать, как может выглядеть Ranomware на уровне процессора.
Согласно регистрации, исследователь создал Демонстрационная версия, в которой злонамеренная полезная нагрузка скрыта в самом процессореС Он называет результат своей работы «очаровательной», но обещает не публиковать код и детали производительности, чтобы не дать киберпреступникам повторять эксперимент.
Тем не менее, Bake подчеркивает, что эти угрозы не являются чисто теоретическими. Например, хорошо известные ботинки Blacklotus способны заражать ровные системы с активированной безопасной загрузкой путем изменения прошивки UEFI. Bake также процитировал выдержки из просочившейся внутренней переписки из группы хакеров в 2022 году: злоумышленники обсудили возможность создания вымогателей, которая непосредственно заряжается UEFI.
«Если мы изменим UEFI, шифрование с помощью выкупа может быть вызвано перед загрузкой операционной системы. Никакая антивирусная программа не увидит этого», — сказали в группе.
При наличии соответствующей уязвимости, которая позволяет отказаться от обновлений прошивки без знака, такая атака может быть реализована без особых трудностей.
Согласно Bake, если бы несколько лет назад опытные хакеры восприняли эту тему всерьез, некоторые из них уже смогли бы добиться успеха. Он также Критикуйте ИТ -индустрию, что она слишком вовлечена в тенденции моды, такие как искусственный интеллект и чат -боты за счет базовой кибербезопасностиТем временем группы вымогателей продолжают зарабатывать миллиарды слабых паролей, критических уязвимостей и плохого применения двухфакторной аутентификации.
