SMM Rootkit
Posted Tue 26 Jan 2016 09:22:00 AM CET
Florian Lohoff
Eine fieses proof-of-concept. Wir schaffen es das SMM Bios zu infiltrieren. Dafür gab es ja diverse exploits ... Danach ist man im prinzip unsichtbar auf dem System weil der SMM und das SMM Bios nicht sichtbar sind für das normale OS.
Dann diesen proof-of-concept auf die Maschine ins SMM Bios und sie ist und bleibt kompromittiert. Am Ende lässt sich das nur durch den Austausch des Mainboards lösen - aber ist man sich sicher ein nicht kompromittiertes zu bekommen? Da der ganze Bereich SMM davon abhängt unsichtbar zu sein kann man es nicht validieren.
https://scumjr.github.io/2016/01/10/from-smm-to-userland-in-a-few-bytes/