image

Eerste UEFI-virusscanner gaat strijd aan met rootkits

dinsdag 16 april 2013, 14:43 door Redactie, 7 reacties

Vandaag is de eerste virusscanner voor de 'Unified Extensible Firmware Interface' (UEFI) gelanceerd, wat de opvolger van het aloude BIOS is. UEFI is een nieuw model voor de interface tussen het besturingssysteem van de computer en de firmware van het platform. Het wordt dan ook als de geestelijke opvolger van het BIOS (Basic Input/Output System) gezien.

UEFI biedt betere prestaties en veel meer mogelijkheden dan het BIOS, waaronder een ingebedde beveiligingsoplossing op de chip. Het Russische anti-virusbedrijf Kaspersky Lab heeft de eerste en vooralsnog enige virusscanner die aan de UEFI-regels voldoet. Hierdoor kan de scanner bepaalde systeembestanden en geheugenadressen scannen voordat het besturingssysteem wordt geladen.

Detectie
Dit zou vooral effectief tegen rootkits en bootkits zijn, die worden normaliter geladen voordat de virusscanner wordt geladen en kunnen het starten van anti-virus zelfs voorkomen. Door de starten van een ROM-chip die gegarandeerd schoon is, kan de virusscanner systeembestanden scannen voordat die worden geladen en zo rootkits detecteren.

Zodra er malware wordt ontdekt geeft de virusscanner de gebruiker een waarschuwing of blokkeert het laden van het besturingssysteem, zodat de gevonden dreigingen kunnen worden verwijderen.

"Voorheen hadden onze tegenstanders altijd het voordeel, ze waren de eerste die de gaten vonden, die wij moesten oplossen. Maar nu kunnen ze hun malware niet meer verbergen, omdat onze virusscanner op het laagst mogelijke niveau draait", zegt CTO Nikolay Grebennikov

De oplossing zou vooral voor organisaties met strenge veiligheidseisen zijn bedoeld, zoals militaire organisaties, energiebedrijven, overheidsinstanties en industriële ondernemingen.

Reacties (7)
16-04-2013, 15:41 door Anoniem
Oude uitvinding die al in 1992 beschikbaar was. Natuurlijk niet met de UEFI methode, maar wel als Thunderbyte Immunizer kaart van Frans Veldman ! Die stak je in je ISA slot en was al actief voordat DOS geladen werd door de bios.
16-04-2013, 16:06 door Matthias Huisman
En toch blijft het een verhaal van kat en muis. De ROM chip kan brandschoon zijn, maar zolang de definities daardoor hetzelfde blijven, loop je achter de feiten aan.
16-04-2013, 19:43 door Anoniem
Hee!? Was UEFI niet zoveel super beter dat je al deze meuk niet meer nodig had? Gewoon redmond vertrouwen met hun signage (voor de prijs van niet zomaar meer out-of-the-box iets anders kunnen installeren, er moet eers in het bios, herstel uefi, geknutseld worden zolang dat nog kan) en er kon je niets meer gebeuren, toch? Of is dat ook al niet waar?

Je zou haast denken dat dat ge-wel-di-ge UEFI stiekem toch meer weg had van een bad idea done badly. Maar dat zal je wel weer niet mogen zeggen van de fanbois.
16-04-2013, 22:49 door Anoniem
@Anoniem: En jij snapt het dus niet ... het gaat niet om het OS dat geladen wordt, maar om de (te flashen en dus te manipuleren) BIOS zelf.
17-04-2013, 12:33 door spatieman
Door Anoniem: Oude uitvinding die al in 1992 beschikbaar was. Natuurlijk niet met de UEFI methode, maar wel als Thunderbyte Immunizer kaart van Frans Veldman ! Die stak je in je ISA slot en was al actief voordat DOS geladen werd door de bios.

pokke kaart was toen nog eens peper duur ook....
maar het was DE scanner...
17-04-2013, 16:52 door Anoniem
Ach McAfee heeft met zijn Deep Defender product ook al anderhalf jaar een zeer passende oplossing.
04-09-2013, 06:32 door Anoniem
Door spatieman:
Door Anoniem: Oude uitvinding die al in 1992 beschikbaar was. Natuurlijk niet met de UEFI methode, maar wel als Thunderbyte Immunizer kaart van Frans Veldman ! Die stak je in je ISA slot en was al actief voordat DOS geladen werd door de bios.

pokke kaart was toen nog eens peper duur ook....
maar het was DE scanner...

Ik ken um. Ik had vroeger ook nog een dongle die de CRC van een bios bewaarde in een parallelle poort device (DOS tijdperk). Kwam ook van een Nederlands bedrijf, naam is me ontschoten.

Belangrijk om te weten: de pci/iso OPTION ROM *PRE-BOOT* runtime methodiek is anno 2013 nog steeds bruikbaar en mogelijk nog schadelijker of moeilijker traceerbaar dan UEFI bootkits. Zo kan je in principe een groot gedeelte van de vendor/3th party EFI rotzooi makkelijk omzeilen. PCI/ISA Option Roms moeten verplicht in ram worden geladen en worden uitgevoerd (ruimte voor 1mb code in 64k blokken, om het platform onafhankelijk te maken). Option roms kun je zelf flashen op iedere willekeurige PCI kaart met bijvoorbeeld een aangepaste trojan, zelfs op een VGA kaart of de bios zelf (nvidia heeft een kleine beveiliging voor dit soort trucage). Er is een P.O.C. geweest van iemand in Italie die deze methode gebruikt om pre-boot een mini-kernel te laden. Met wat fantasie kun je wat lowlevel zaken doen die ook zijn waargenomen in bootkits (MBR type, hidden volume, BCD her-her-her-infecteren enzo). Aangezien die bootroms programmeerbaar zijn kan kwaadwillige optionrom code zichzelf in realmode weer versleutelen zodat het moeilijk heuristisch te scannen valt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.