اینتل ابزاری برای شناسایی بدافزارهای مقیم چه عرضه کرد

پس از آن‌که اسناد مختلفی در ارتباط با شنود و استراق سمع اطلاعات از سوی آژانس‌های دولتی منتشر شد و به طبع آن شرکت‌هایی همچون گوگل، بنیاد لینوکس، مایکروسافت و غیره هر یک بیانیه‌ای منتشر کردند و اعلام داشتند محصولات آن‌ها در برابر این تهدیدات ایمن بوده یا حفره‌های موجود در محصولات خود را ترمیم کردند، اکنون اینتل ابزاری برای شناسایی روت‌کیت‌های EFI عرضه کرد.

بخش امنیتی مستقر در شرکت اینتل ابزاری موسوم به CHIPSEC را عرضه کردند. ابزاری که به کاربران و سازمان‌ها اجازه می‌دهد روت‌کیت‌های EFI را شناسایی کرده و حتا کدهای دودویی مخربی که درون میان‌افزار دستگاه‌های آن‌ها پنهان شده‌اند را شناسایی کنند. چند وقتی است گزارش Vault7 در اختیار سازندگان بزرگ قرار گرفته است. این گزارش به تشریح آسیب‌پذیری‌های روز صفری پرداخته است که در محصولات این سازندگان قرار دارد. اکنون شرکت‌هایی که محصولات آن‌ها از سوی میلیون‌ها یا میلیاردها کاربر در سراسر جهان مورد استفاده قرار می‌گیرد به تکاپو افتاده‌اند تا محصولات خود را هرچه سریع‌تر ترمیم کنند.

در همین ارتباط اینتل ابزار CHIPSEC را در اختیار کاربران قرار داده است تا از طریق آن میان‌افزار کامپیوترهای شخصی خود را آزمایش کنند. این ابزار قادر است تغییرات میان‌افزار دستگاه‌های کاربران یا کدهای مخربی که به درون دستگاه‌های آن‌ها تزریق شده است را شناسایی کند.

گزارش‌های منتشر شده نشان می‌دهند گروه موسوم به EDB که وابسته به آژانس‌های اطلاعاتی است از طریق توسعه قطعه کدی موسوم به DerStrake به شکل هدفمندی روت‌کیت‌های واسط میان‌افزار توسعه‌یافته موسوم به EFI را به درون مک‌بوک‌های اپل تزریق کرده‌اند. این قطعه کد به منظور تزریق کدهای مخرب به درون هسته سیستم‌عامل‌ مورد استفاده قرار گرفته و قادر است از ماژول مقیم روت‌کیت EFI استفاده کند.

در کامپیوترهای مدرن امروزی UEFI یا همان رابط متحد توسعه‌پذیر جایگزین بایوس‌ها شد. یک میان‌افزار سطح پایین که در مدت زمان راه‌اندازی یک سامانه قبل از سیستم‌عامل اجرا شده و مقداردهی‌های اولیه را مدیریت می‌کند. اگر نرم‌افزار مخربی بتواند در خفا در EFI اجرا شود این توانایی را به دست خواهد آورد تا از مکانیزم‌های امنیتی عبور کرده و به ساده‌ترین شکل ممکن کد مخرب را به درون هسته سیستم‌عامل تزریق کند. بدافزاری که به شکل ماندگار روی سامانه‌های کامپیوتری قرار می‌گیرد و حتا در زمان به‌روزرسانی سیستم یا نصب مجدد سیستم‌عامل همچنان یک سامانه کامپیوتری را آلوده سازد. گروه EDB همچنین ابزار مخرب دیگری موسوم به QuarkMatter را ویژه تزریق کدها به درون EFI سامانه‌های مک طراحی کردند. ابزاری که از درایور EFI ذخیره شده در این سامانه‌ها  به منظور حضور مداوم در هسته سیستم‌عامل استفاده می‌کند.

به همین دلیل پژوهشگران امنیتی اینتل ابزاری موسوم به CHIPSEC را طراحی کرده‌اند. یک ابزار متن باز که قادر است فایل‌های اجرایی مخرب EFI را کشف کند. CHIPSEC یک ابزار خط فرمان است که از رابط‌های سطح پایین سیستمی به منظور آزمایش سخت‌افزار، میان‌افزار و دیگر اجزا سخت‌افزاری استفاده می‌کند. برای دانلود این ابزار به آدرس chipsec مراجعه کنید.