Clear
Lead Graphic Papers

นักวิจัยสาธิตมัลแวร์ที่ติดในเฟิร์มแวร์ EFI ของเครื่อง Mac

วันที่ประกาศ: 1 สิงหาคม 2555
ปรับปรุงล่าสุด: 1 สิงหาคม 2555
เรื่อง: นักวิจัยสาธิตมัลแวร์ที่ติดในเฟิร์มแวร์ EFI ของเครื่อง Mac

ประเภทภัยคุกคาม: Malicious Code, Intrusion

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

EFI หรือ Extensible Firmware Interface เป็นเฟิร์มแวร์ที่ถูกออกแบบมาเพื่อใช้แทน BIOS เนื่องจากเทคโนโลยีใน BIOS นั้นมีข้อจำกัดและไม่สามารถรองรับกับอุปกรณ์ใหม่ๆ ที่ออกมาได้ เช่น ไม่สามารถบู๊ตจากฮาร์ดดิสก์ที่มีขนาดใหญ่กว่า 2 TB ได้ เป็นต้น

EFI ถูกคิดค้นและพัฒนาขึ้นโดยบริษัท Intel ในปี พ.ศ. 2541 และได้ออกมาตรฐาน EFI เวอร์ชัน 1.10 ในปี พ.ศ. 2548 จากนั้นได้เปลี่ยนให้องค์กร Unified EFI Consortium เป็นผู้ดูแล จึงได้เปลี่ยนชื่อใหม่เป็น Unified Extensible Firmware Interface (UEFI) [1] ในปี พ.ศ. 2549 บริษัท Apple Inc. ได้ผลิตเครื่องคอมพิวเตอร์ Macintosh ที่ใช้ CPU ของ Intel และได้เริ่มใช้เทคโนโลยี EFI ในคอมพิวเตอร์ตระกูล Macintosh ตั้งแต่นั้นเป็นต้นมา โดยเทคโนโลยี EFI ที่ Apple นำมาใช้นั้นอ้างอิงตามมาตรฐาน EFI เวอร์ชัน 1.10 [2]

ในงาน Black Hat USA 2012 นักวิจัยด้านความมั่นคงปลอดภัย ได้สาธิตมัลแวร์ประเภท Rootkit ที่สามารถแทรกตัวเองลงในเฟิร์มแวร์ EFI ของเครื่อง Mac Book Air และสามารถข้ามการทำงาน (Bypass) ของระบบ FileVault ซึ่งเป็นระบบเข้ารหัสลับข้อมูลในฮาร์ดดิสก์ได้

ผลกระทบ

มัลแวร์ที่นักวิจัยนำมาสาธิตนี้สามารถแก้ไข Kernel ของระบบปฏิบัติการ รวมถึงทำงานเป็น Keylogger เพื่อดักรหัสผ่านที่ใช้ในการถอดรหัสลับดิสก์ที่ถูกเข้ารหัสลับด้วยระบบ FileVault ได้ นอกจากนี้นักวิจัยยังได้ให้ข้อมูลเพิ่มเติมว่ามัลแวร์ดังกล่าวนี้สามารถดัดแปลงให้มีความสามารถอื่นๆ เพิ่มเติมได้ด้วย เช่น เปิด Reverse Shell เพื่อให้ผู้ไม่หวังดีเข้ามาควบคุมเครื่องจากระยะไกลได้ เป็นต้น [3]

การแพร่กระจายของมัลแวร์ดังกล่าวนี้ อาจทำได้ด้วยการเสียบ USB Drive ที่มีโค้ดของมัลแวร์เข้าไปในเครื่องของเหยื่อ หรือเสียบอุปกรณ์ Thunderbolt-to-Ethernet ที่ถูกดัดแปลงโดยใส่ไดรเวอร์พิเศษเข้าไป จากนั้นเมื่อเปิดเครื่องคอมพิวเตอร์ เครื่องของเหยื่อก็จะนำโค้ดอันตรายดังกล่าวไปประมวลผลโดยอัตโนมัติ

ระบบที่ได้รับผลกระทบ

เครื่องคอมพิวเตอร์ตระกูล Macintosh ที่ใช้ระบบ EFI (เครื่องที่วางจำหน่ายตั้งแต่ปี พ.ศ. 2549 เป็นต้นไป)

ข้อแนะนำในการป้องกันและแก้ไข

มัลแวร์ที่นักวิจัยนำมาสาธิตนี้ถูกสร้างขึ้นมาเพื่อแสดงให้เห็นถึงช่องโหว่ และไม่ได้นำไปแพร่กระจายในสาธารณะ แต่อย่างไรก็ตาม อาจมีผู้ไม่หวังดีนำช่องโหว่ดังกล่าวนี้ไปสร้างมัลแวร์เพื่อโจมตีผู้ใช้งานทั่วไปได้

การป้องกันตัวจากการโจมตีผ่านช่องโหว่ดังกล่าว อาจทำได้หลายวิธี เช่น การตั้งรหัสผ่านในขั้นตอน BDS (Boot Device Selection) ซึ่งเป็นขั้นตอนที่ให้ผู้ใช้เลือกว่าจะบู๊ตจากอุปกรณ์อะไร ซึ่งวิธีการดังกล่าวสามารถป้องกันการโจมตีจากอุปกรณ์เชื่อมต่อภายนอก เช่น USB Drive, Firewire หรือ Network Interface ได้เท่านั้น แต่ไม่สามารถป้องกันการโจมตีโดยการเสียบอุปกรณ์เข้ากับ PCI Bus ของเครื่องโดยตรงได้ เช่น ExpressCard หรือ Thunderbolt [4]

เนื่องจากมัลแวร์ดังกล่าวนี้จะทำงานได้ก็ต่อเมื่อผู้โจมตีสามารถเชื่อมต่ออุปกรณ์ เช่น USB Drive เข้ากับเครื่องคอมพิวเตอร์ของเหยื่อ ดังนั้นหากผู้ใช้ตรวจสอบพอร์ตของเครื่องก่อนทำการเปิดเครื่อง ก็อาจช่วยป้องกันการโจมตีจากผู้ไม่หวังดีได้

อ้างอิง

  1. http://h20565.www3.hp.com/t5/Feature-Articles/The-30-year-long-Reign-of-BIOS-is-Over-Why-UEFI-Will-Rock-Your/ba-p/198
  2. http://www.everymac.com/mac-answers/macintel-faq/intel-macs-openfirmware-bios-altivec-firewire-powerpc.html#bios
  3. http://www.h-online.com/security/news/item/EFI-rootkit-for-Macs-demonstrated-1655108.html
  4. http://ho.ax/De_Mysteriis_Dom_Jobsivs_Black_Hat_Paper.pdf
Clear