RDFU: framework para la detección de bootkits en las "nuevas BIOS" (EFI)

agosto 14, 2013 § Deja un comentario

Según reza la Wiki “La Interfaz Extensible del Firmware, Extensible Firmware Interface (EFI), es una especificación desarrollada por Intel dirigida a reemplazar la antigua interfaz del estándar IBM PC BIOS, que interactúa como puente entre el sistema operativo y el firmware base.”

En 2005 se creó la fundación UEFI (Unified Extensible Firmware Interface) cuya labor consistía en desarrollar y promocionar esta plataforma EFI y hoy en día la mayoría de los sistemas operativos sobretodo de 64 bits lo soportan, de hecho se prevé que Windows 8 sustituya completamente la BIOS por EFI.

Evidentemente esta “modernización” del arranque de los PCs no ha pasado inadvertida para los desarrolladores de malware que han fijado UEFI como uno de sus grandes objetivos, más aún cuando la detección y/o erradicación de rootkits o bootkits es muy difícil.

Para combatir esta nueva amenaza Reversing Labs ha desarrollado Rootkit Detection Framework para UEFI (“RDFU”) que incorpora un conjunto de herramientas y drivers que tratan este problema a lo largo de un gran número de implementaciones UEFI:

  • enumera todos los drivers EFI cargados en memoria
  • comprueba rangos de memoria en busca de ejecutables
  • monitoriza nuevos drivers cargados hasta que se inicia el sistema operativo
  • lista EFI BOOT SERVICES y EFI RUNTIME SERVICE en busca de modicaciones en punteros de función
  • supervisa continuamente EFI BOOT SERVICES y EFI RUNTIME SERVICE mientras que se carga el sistema operativo
  • muestra el mapa de memoria y vuelca tosas las regiones adecuadas
  • lista y monitoriza rellamadas de eventos que pueden ser utilizadas por rootkits/malware
  • trabaja en modo standalone sin el shell EFI

Descargas: White Paper | Blackhat 2013 Presentation | Source Code

Fuente: HackPlayers

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo RDFU: framework para la detección de bootkits en las "nuevas BIOS" (EFI) en Seguridad Informática.

Meta

A %d blogueros les gusta esto: