Turvallisuustutkijat ovat julkistaneet uuden tekniikan nimeltä ”Varjo BIOS”Tämän ansiosta haittaohjelmat voivat toimia kokonaan tietokoneen perustaohjelmistossa, perinteisten tietoturvatoimenpiteiden tekeminen voimattomasti. Kazuki Matsuo of FFRI Security kuvaa yksityiskohtaisesti Black Hat 2025: n menetelmää, korostaen sen ennennäkemättömiä kiertämisominaisuuksia ohittamalla käyttöjärjestelmä (OS) kokonaan.
Shade BIOS eroaa pohjimmiltaan tavanomaisista UEFI: stä (yhtenäinen laajennettavissa oleva laiteohjelmistorajapinta) uhista, kuten juuret tai bootKits. Vaikka UEFI -haittaohjelmat hyödyntävät laiteohjelmiston pysyvyyttä ennen käyttöjärjestelmän lataamista, se lopulta luottaa käyttöjärjestelmään vuorovaikutuksessa laitteistojen kanssa ja suorittaa haitallisia tehtäviä – sen lisääminen virustentorjunta-, päätepisteiden havaitsemiseen (EDR/XDR) ja käyttöjärjestelmän suojaustyökaluihin. Shade Bios eliminoi tämän riippuvuuden, jolloin hyökkääjät voivat ajaa haitallisia koodeja yksinomaan BIOS -ympäristössä myös käyttöjärjestelmän saappaiden jälkeen.
Historiallisesti UEFI -haittaohjelmien käyttöjärjestelmän luottamus luo haavoittuvuuksia. Hyökkääjien on ennakoitava ja poistettava erityiset turvallisuusohjelmat käynnistyksen aikana – monimutkainen tehtävä, joka vaatii tietämystä ytimen ohjaimista ja mekanismeista. Matsuo toteaa, että mikään nykyinen UEFI -haittaohjelma ei ohita kriittisiä Windows -puolustuksia, kuten Windowsin tapahtumien jäljitys (ETW). Lisäksi kaikkien tietoturvatyökalujen poistaminen käytöstä hälyttäisi käyttäjiä. Shade BIOS kiertää näitä kysymyksiä toimimalla itsenäisesti, mikä tekee haitallisista toiminnoista näkymättömiä OS-tason suojauksiin.
Tekninen toteutus
Läpimurto käsittää käyttöjärjestelmän kuormaimen pettämisen käynnistyksen aikana. Kun ohjaus siirtyy BIOS: sta OS: hen, UEFI tuhoaa tyypillisesti laiteohjelmistoresurssit. Shade Bios subveroi tämän muuttamalla UEFI -muistikarttaa – komponentti, joka sisältää muistin allokoinnin. ”Petotan käyttöjärjestelmän kuormainta muuttamalla muistikarttaa”, Matsuo selittää. Manipuloitu kartta vakuuttaa kuormaimen, että BIOS -alueiden on pysyttävä aktiivisina käyttöjärjestelmän ajon aikana, pitäen BIOS -toiminnallisuuksia muistissa.
Tämä luo rinnakkaisen, piilotetun ympäristön, joka muistuttaa ”pienoiskäyttöistä käyttöjärjestelmää”, jossa haittaohjelmat toimivat käyttämällä BIOS-spesifisiä protokollia (esim. Levy I/O) tavanomaisten OS-sovellusliittymien sijasta. Haittaohjelmat voidaan kirjoittaa C: ssä, hyödyntämällä BIOS -ohjaimia tehtäviin, kuten tiedostojen luomiseen. Matsuo väittää, että tämä lähestymistapa on potentiaalisesti yksinkertaisempi kuin perinteisten UEFI -bootKitsien kehittäminen: ”Se ei vaadi binaarista manipulointia, koukkuja tai kuvioiden sovittamista.”
Shade BIOS aiheuttaa UEFI: n standardoinnin vuoksi yleisen uhan. Sitä Havaitseminen on poikkeuksellisen vaikeaa, koska tietoturvaohjelmisto ei voi skannata BIOS -ajonaikaympäristöä. Ainoa puolustus on ennakoiva, suunnittelematon muistin polkumyynti ja analyysi epäilyttävän koodin tunnistamiseksi – jopa ilman aikaisempaa epäilystä kompromissista.
Matsuo osoittaa muistin analyysin käyttämällä avoimen lähdekoodin työkalua “KraftDinner” Black Hat 2025: ssä havaitsemisen virtaviivaistamiseen. Hän korostaa kuitenkin, että Shade Bios -hyökkäykset ovat edelleen markkinarakoja, jotka ovat ensisijaisesti merkityksellisiä korkean turvallisuuden yhteydessä: ”UEFI-uhat eivät ole oikeasti suosittuja kansallisen turvallisuuden ulkopuolella.” Tekniikka on tärkein valtion virastoille PC -hankintatarkastusten aikana laiteohjelmiston takaovien paljastamiseksi.
Tämä tutkimus korostaa kriittistä kehitystä loukkaavissa ominaisuuksissa-pääsihteerien pysyvyys on täysin eronnut käyttöjärjestelmästä-uusien puolustavien paradigmien lopettaminen arvokkaisiin tavoitteisiin.
Source: Uudet haittaohjelmat piiloutuvat tietokoneesi aivoihin
