RDFU: un nuevo framework para la detección de bootkits en las "nuevas BIOS" (EFI)

Según reza la Wiki "La Interfaz Extensible del Firmware, Extensible Firmware Interface (EFI), es una especificación desarrollada por Intel dirigida a reemplazar la antigua interfaz del estándar IBM PC BIOS, que interactúa como puente entre el sistema operativo y el firmware base."

En 2005 se creó la fundación UEFI (Unified Extensible Firmware Interface) cuya labor consistía en desarrollar y promocionar esta plataforma EFI y hoy en día la mayoría de los sistemas operativos sobretodo de 64 bits lo soportan, de hecho se prevé que Windows 8 sustituya completamente la BIOS por EFI.

Evidentemente esta "modernización" del arranque de los PCs no ha pasado inadvertida para los desarrolladores de malware que han fijado UEFI como uno de sus grandes objetivos, más aún cuando la detección y/o erradicación de rootkits o bootkits es muy difícil.

Para combatir esta nueva amenaza Reversing Labs ha desarrollado Rootkit Detection Framework para UEFI (“RDFU”) que incorpora un conjunto de herramientas y drivers que tratan este problema a lo largo de un gran número de implementaciones UEFI:

- enumera todos los drivers EFI cargados en memoria
- comprueba rangos de memoria en busca de ejecutables
- monitoriza nuevos drivers cargados hasta que se inicia el sistema operativo
- lista EFI BOOT SERVICES y EFI RUNTIME SERVICE en busca de modicaciones en punteros de función
- supervisa continuamente EFI BOOT SERVICES y EFI RUNTIME SERVICE mientras que se carga el sistema operativo
- muestra el mapa de memoria y vuelca tosas las regiones adecuadas
- lista y monitoriza rellamadas de eventos que pueden ser utilizadas por rootkits/malware
- trabaja en modo standalone sin el shell EFI


Descargas:  White Paper | Blackhat 2013 Presentation | Source Code

Comentarios