16 января 2015

Все, что вы хотели знать о Thunderstrike — первом бутките для Mac

Безопасность Новости Угрозы

На 31-й ежегодной конференции Chaos Computer Club, прошедшей в конце декабря в Гамбурге, был представлен первый известный буткит для Mac OS X.

Thunderstrike OS X Bootkit

Треммелл Хадсон (Trammell Hudson), исследователь в сфере информационной безопасности, разработал атаку, которую окрестил Thunderstrike. Она эксплуатирует уязвимость, обнаруженную в глубине кода OS X; на самом деле даже глубже, на уровне прошивки. Хадсон уже уведомил Apple, которая, по сведениям, залатала брешь во всех устройствах, за исключением MacBook.

Нет сомнений в том, что Thunderstrike, как и все буткиты и руткиты, — очень опасная угроза: использующий ее злоумышленник может получить полный контроль над вашим компьютером. Это как вирус Эбола среди компьютерных угроз: вероятность заражения невысока, но, если уж вас угораздит подцепить заразу, последствия могут быть катастрофическими.

Буткит — подвид руткита, модифицирующий загрузочный сектор операционной системы, что позволяет получить полный контроль над инфицированной машиной. Буткит запускается при включении компьютера, еще до того, как загрузится сама ОС. Даже если удалить операционную систему, зловред никуда не денется. Как следствие, буткиты очень трудно удалить и даже обнаружить, хотя современные антивирусные продукты способны с ними справляться.

Thunderstrike — буткит, разработанный для устройств, работающих под управлением OS X. Его можно установить, получив доступ непосредственно к «начинке» Мака, либо через интерфейс Thunderbolt. Вероятность инфицирования первым способом ничтожно мала: для этого буткит должен быть установлен на этапе производства, либо же злоумышленник должен физически разобрать ваш MacBook и вручную провести необходимые модификации.

Более вероятен второй вариант — заражение через соединение Thunderbolt. Для атак такого типа, требующих физического доступа к компьютеру, даже есть специальный термин: атаки «evil maid». В принципе подойдет любой сценарий, в котором можно подобраться к компьютеру в отсутствие его владельца. Особое внимание стоит обратить на такие моменты, когда ваш компьютер против вашего желания оказывается один на один с совершенно незнакомыми вам людьми. Например, так происходит при досмотре службой безопасности аэропорта.

Возвращаясь к аналогии с вирусом Эбола, передающимся только в ходе непосредственного контакта, ваш компьютер может «подхватить» Thunderstrike, только если хакер разберет его либо установит зловреда с периферийного устройства через Thunderbolt.

Удалить буткит программным методом невозможно, так как зловред управляет ключами цифровых подписей и обновлений. Переустановка ОС не решает проблему, как и замена SSD, ведь на накопителе его тоже нет

Другие виды вредоносного ПО имеют менее разрушительный эффект, но «передаются» гораздо легче. Если продолжить использовать аналогию с человеческими заболеваниями, вирус обычного гриппа передается воздушно-капельным путем и для населения представляет в целом большую опасность, чем Эбола, хотя грипп в большинстве случаев не смертелен.

Так и в нашем случае: зловред, созданный для организации ботнета и пожирающий вычислительные ресурсы компьютера, хоть и менее страшен в каждом отдельном случае, но беспокоит общественность гораздо больше, чем Thunderstrike, так как он может инфицировать компьютер удаленно — через веб, фишинговое email-сообщение и так далее.

«Так как это первый буткит для OS X, ни один антивирусный продукт его не обнаруживает, — заявил Хадсон. — Thunderstrike осуществляет контроль над каждым процессом инфицированной системы, что позволяет злоумышленнику фиксировать нажатия клавиш, получать ключи шифрования накопителей, внедрять бэкдоры в ядро OS X и обходить пароли. Удалить Thunderstrike программным методом невозможно, так как зловред управляет ключами цифровых подписей и обновлений. Переустановка ОС не решает проблему, как и замена SSD, — на накопителе зловреда тоже нет».

Лучший способ защитить свой Макбук от Thunderstrike — убедиться, что никто не имеет доступ к вашему компьютеру во время вашего отсутствия. Одним словом, если не упускаете свои устройства из виду, проблем у вас возникнуть не должно.

Так что откиньтесь на спинку кресла и послушайте легкую музыку в исполнении группы AC/DC: