Az utóbbi időben egyre nagyobb figyelem fordul az abszolút perzisztens és nehezen felderíthető backdoorok felé.
Az idei BlackHat konferencián egy olyan backdoort mutattak be, mely a BIOSban figyel és képes kikerülni a különböző felderítési és eltávolítási kísérleteket. Az alábbiak vannak a tarsolyában:
- hálózatról letöltött paylod a tényleges boot folymat előtt
- OS függetlenség (Windows, linux), működik 32 és 64 bites OS-ek alatt (felett) is
- nem található meg a merevlemezen
- működés közben patcheli a memóriát, felhasználót ad hozzá, vagy tüntet el a rendszerből
- távoli hozzáférést biztosít (Windows XP Prof alatt DLL patcheléssel 2 felhasználós - észrevételni - távoli hozzáférést biztosít)
- képes másolni magát PCI eszközök BIOS-ába. pl. hálózati adapterbe
- ha a rendszer tartalmaz wifi adaptert, képes azt "csöndesen" üzemeltetni, megkerülve akár a vállalati tűzfalakat
- képes a billenytűzet távoli programozásával billenytűleütést generálni (pl ismert jelszót közvetlenül a billenytűzetről visz be, nem az OS hívások megpatchelésével)
- képes csökkenteni a rendszer védelmi szintjét: NX bit kikapcsolása, CPU mikrokód update-ek eltávolítása, Intel anti-smm protection eltávolítása, Windows ASLR kikapcsolása a random seed patchelésével.
- titkosított kommunikációs csatorna, két oldalú (szerver és kliens) certificate-ek használata
- titkosított, aláírt malware update-ek (ala Windows Update)
- rejtőzködés: szükség esetén vissza tudja írni az eredeti BIOS-t az alaplapon, OS alól a BIOS-t letölte dumy (eredeti) BIOS-t adja vissza. Felderíteni gyakorlatilag csak egy passzív Flash socketbe dugva és ott kiolvasva lehetséges.
Bővebb (azért nem túl bő) infó: Rakshasa Backdoor