Defeating x64: Modern Trends of Kernel-Mode Rootkits

Слайды нашей презентации на Ekoparty:

Это было незабываемо, одна из самых ярких конференций на которых мне доводилось побывать. Чуть позже подготовлю более детальный отчет с эксклюзивными фотками =)

Ekoparty и VB2011

Достаточно длительное время мы трудились над исследованием современных буткитов для x64 и прочих техник обхода проверок цифровой подписи для модулей ядра на 64-битных системах. В итоге результаты нашего исследования будут представлены сначала на Ekoparty в Буэнос-Айресе в более хардкорном техническом варианте "Defeating x64: Modern Trends of Kernel-Mode Rootkits". А после этого на VB2011 в Барселоне уже в более концептуальном виде "Modern bootkit trends: bypassing kernel-mode signing policy", адаптированном для АВ-публики :)

В задачи подготовки этих выступлений входило не просто подготовить рассказ о современных техниках загрузки не подписанных модулей ядра на 64-битных системах, а рассказать о концептуальных причинах, которые делают это возможным и почему MS не может выпустить волшебный патч. После конференций слайды обязательно положу здесь ;)

Win32/Wapomi модифицирует прошивку BIOS

Началось все в начале сентября с опубликованного, китайской антивирусной компанией 360 Security, сообщения в блог о найденной вредоносной программе, которая осуществляет модификацию прошивки  BIOS. Это сообщение не особо было замечено общественностью, быть может, ввиду того, что было опубликовано на китайском или из-за небольшого количества читателей самого блога. Но на прошлой неделе появилось уже сразу две публикации на английском:

• Mebromi, a bios-flashing trojan (Norman)
• BIOS threat is showing up again! (Symantec)

Первая мало информативна, т.к. автор в основном рассуждает о былых временах и концептах ушедших лет, разбавляя это не очень интересными картинками. А вот второй пост от Symantec более содержателен и описывает некоторые подробности работы.