Pesquisadores de segurança revelaram uma nova técnica chamada “BIOS da sombra”Isso permite que o malware opere inteiramente dentro do firmware fundamental de um computador, tornando as medidas de segurança tradicionais impotentes. Kazuki Matsuo, da FFRI Security, detalhará o método no Black Hat 2025, destacando completamente suas capacidades de evasão sem precedentes, contornando completamente o sistema operacional (OS).
A BIOS da Shade difere fundamentalmente das ameaças convencionais de UEFI (interface de firmware extensível unificada), como rootkits ou bootkits. Enquanto o malware da UEFI explora a persistência do firmware a ser executada antes da carga do sistema operacional, ele depende do sistema operacional para interagir com hardware e executar tarefas maliciosas – expondo -o em antivírus, detecção de terminais (EDR/XDR) e ferramentas de segurança do SO. A BIOS da sombra elimina essa dependência, permitindo que os invasores executem código malicioso exclusivamente no ambiente do BIOS, mesmo após as botas do sistema operacional.
Historicamente, a confiança do sistema operacional da UEFI Malware cria vulnerabilidades. Os invasores devem antecipar e desativar programas de segurança específicos durante a startup – uma tarefa complexa que requer conhecimento de motoristas e mecanismos do kernel. Matsuo observa que nenhum malware UEFI existente ignora as defesas críticas do Windows, como o rastreamento de eventos para Windows (ETW). Além disso, desativar todas as ferramentas de segurança provavelmente alertaria os usuários. A BIOS de sombra contorna essas questões, operando de forma independente, tornando as atividades maliciosas invisíveis para as proteções no nível do SO.
Execução técnica
O avanço envolve enganar o carregador do sistema operacional durante a inicialização. Quando o controle muda do BIOS para o SO, a UEFI normalmente destrói os recursos de firmware. A BIOS da sombra subverte isso alterando o mapa de memória da UEFI – o componente detalhando a alocação de memória. “Estou enganando o carregador do sistema operacional alterando o mapa de memória”, explica Matsuo. O mapa manipulado convence o carregador de que as regiões do BIOS devem permanecer ativas durante o tempo de execução do SO, mantendo as funcionalidades da BIOS na memória.
Isso cria um ambiente oculto e paralelo, semelhante a um “sistema operacional em miniatura”, onde o malware opera usando protocolos específicos do BIOS (por exemplo, E/S de disco) em vez de APIs padrão do sistema operacional. O malware pode ser escrito em C, aproveitando os drivers do BIOS para tarefas como a criação de arquivos. Matsuo afirma que essa abordagem é potencialmente mais simples do que o desenvolvimento de bootkits tradicionais da UEFI: “Não requer manipulação binária, ganchos ou correspondência de padrões”.
A sombra BIOS representa uma ameaça universal devido à padronização da UEFI. O malware desenvolvido para ele funcionaria de forma idêntica entre PCs, servidores e placas-mãe-reagindo nenhuma adaptação específica de hardware. A detecção é excepcionalmente difícil, pois o software de segurança não pode digitalizar o ambiente de tempo de execução do BIOS. A única defesa é o dumping e a análise proativos e não programados de memória para identificar código suspeito – mesmo sem suspeita prévia de compromisso.
O Matsuo demonstrará análise de memória usando a ferramenta de código aberto “Kraftdinner” no Black Hat 2025 para otimizar a detecção. No entanto, ele enfatiza que os ataques de BIOS da sombra permanecem nicho, principalmente relevantes para os contextos de alta segurança: “As ameaças da UEFI não são realmente populares fora da segurança nacional”. A técnica é mais pertinente para as agências governamentais durante as inspeções de compras para PCs para descobrir backdoors de firmware.
Esta pesquisa ressalta uma evolução crítica em capacidades ofensivas-a persistência da malware se divorciou completamente do sistema operacional-que define novos paradigmas defensivos para alvos de alto valor.
