より多くのコンピュータウイルスが悪質なソフトウェアでBIOSをフラッシュするのはなぜですか
ほとんどのウイルスは、ハードドライブを拭いてウィンドウを再インストールするだけで削除できます。では、なぜより多くのウイルスがペイロードを作成してBIOSチップにフラッシュしないのですか?そうすれば、ユーザーがウイルスを削除することなく、ブートのたびにウイルスを再ダウンロードできます。では、なぜBIOSが攻撃ベクトルとしてより頻繁に使用されないのでしょうか?
ウイルスは単純にできないからです。
BIOSのフラッシュには管理アクセスが必要ですが、これは通常ウイルスが得ることのできないものです。
さらに、各BIOSは異なり、BIOSをフラッシュすることは、ターゲットがどうなるかを事前に知る必要があることを意味します。もちろん、1GBのウイルスを作成し、1000の異なるBIOSを含めることができますが、そのようなものを開発するには多くのリソースを必要とし、実際にウイルスが上陸する可能性は非常に小さいので、言うまでもありません。 BIOSの寿命は約3〜5年です。これらのBIOSが搭載されたマザーボードは、通常、BIOSが異なる新しいマザーボードに交換されます。
誰かが特定のPCをターゲットにしたい場合、ウイルスをプログラムしてターゲットマシンに感染することを期待するよりも、システムに侵入してリモートで破壊する方がはるかに簡単です。
そして最後に、これはこれと同じくらい簡単だったとしましょう。ウイルスの目的は何でしょうか?ホストに感染し続けるのではなく、感染を拡大する必要があります。ここでは、ウイルスではなくマルウェアについて話しています。マルウェアは、データを収集しているマスターサーバーにデータを送り返すことを目的としています。または、おそらくランサムウェア(まだウイルスではない)の一種です。しかし、ここでも同じことが当てはまります。 BIOSの違いやシステムへのアクセスが難しいため、すべてのシステムをターゲットにすることはできません。代わりに1つのシステムをターゲットにする場合、ハッカーはマルウェアを起動してターゲットに到達することを期待するよりもはるかに成功します。
ファームウェアのフラッシュは単純ではないからです。
UEFIでは、ファームウェアの更新はフラッシュ前に、さらにはプリブート時でも常に検証されるため、結果のBIOSはUEFI仕様および製造元のハードウェアに対して適切に形成されている必要があります。そうでない場合、失敗して書き込まれません。
最新のシステムの多くは、不良BIOSの場合に保護および回復するために、デュアルBIOSを実装しています。
最新の EFI BIOSはOSに安全な検証を提供します 、OSが起動前に既知の証明書と署名を要求できるようにする.
Intel Boot Guard は、不正なファームウェアでの起動を防ぐCPU拡張機能です。
ハードウェアコンポーネントには数万の組み合わせがあるため、攻撃者は巧妙に作成された悪意のあるファームウェアの巨大なリポジトリを維持する必要があります。この種の攻撃は国民国家の俳優に限定されています。
そのため、これらの攻撃は拡張できず、多大な労力と高度な技術が必要であり、簡単に回復できます。
ストレージの永続性に関するコメントで、ファームウェアコードがその構成と同じ場所または方法に保存されていないことを理解してください。ファームウェアフラッシュはオールオアナッシングなので、マルウェアは実行コンフィギュレーションに追加できません。 CMOS構成用のストレージにはバイナリ実行可能情報は保存されず、OSはCMOSに書き込むことができません。ファームウェア自体によって実行される必要があります。 。
ファームウェアマルコードの実装の実際の価値は、OSスタックの最下位レベルでルートキット/ブートキットコードを実装し、システムがそこにあることを認識しないようにすることです。これは非常に高度なものです。それまたは単純なブルートフォースのサービス拒否攻撃です。これは他の方法ではより簡単に実行できます。