Trend Micro รายงานถึงบริการหนึ่งของ Hacking Team จากเอกสารที่หลุดออกมาเป็น rootkit สำหรับ Insyde BIOS ที่ได้รับความนิยมสูงในหมู่ผู้ผลิตโน้ตบุ๊ก พร้อมกับบริการสร้าง rootkit สำหรับไบออสรุ่นอื่นๆ หากลูกค้าต้องการ
บริการนี้จำเป็นต้องติดตั้งที่ตัวเครื่องโดยตรง เช่นการดักแก้ไขเครื่องก่อนส่งถึงมือลูกค้า แต่ Trend Micro เตือนว่ายังมีความเป็นไปได้ที่ rootkit นี้จะถูกติดตั้งจากระยะไกล
rootkit นี้มีความสามารถในการอ่านและเขียนระบบไฟล์ NTFS เมื่อเครื่องบูตขึ้นมาจะตรวจสอบว่ามีไฟล์มัลแวร์อยู่หรือไม่ หากไม่มีก็จะวางไฟล์ลงไปใหม่ใน Users[username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6To_60S7K_FU06yjEhjh5dpFw96549UU เพื่อให้โปรแกรมรันขึ้นทันทีหลังบูตเครื่อง
ทาง Trend Micro แนะนำให้ผู้ที่กังวลกับการโจมตีเช่นนี้เปิดการใช้งาน UEFI SecureFlash, อัพเดตไบออสอย่างสม่ำเสมอ, และล็อกรหัสผ่านของ UEFI/BIOS
ใครดูแลเซิร์ฟเวอร์สำคัญ ขั้นตอนก่อนเอาเครื่องขึ้นระบบหลังจากนี้อาจจะมีรายการ "ลงไบออสใหม่" เพื่อให้แน่ใจครับ
ที่มา - Trend Micro
from Blognone https://www.blognone.com/node/70383
via IFTTT
