Serangan BIOS Rootkit adalah jenis serangan yang melibatkan pemrograman jahat yang dimasukkan ke dalam BIOS (Basic Input Output System). Serangan ini dikenal juga dengan serangan BIOS yang persisten, di mana BIOS diperbarui (flashed) dengan kode berbahaya yang memungkinkan administrasi jarak jauh.
BIOS adalah perangkat lunak (firmware) yang ada di memori dan dijalankan saat komputer dihidupkan. Karena BIOS disimpan di memori dan bukan di hard drive, rootkit BIOS bisa bertahan terhadap usaha-usaha tradisional untuk menghapus malware, seperti memformat ulang atau mengganti hard drive.
Pada awalnya, firmware BIOS bersifat hanya-baca dan sudah diprogram sebelumnya. Namun, saat ini, produsen umumnya menggunakan format yang dapat dihapus, seperti flash memory, agar BIOS bisa diperbarui dengan mudah melalui jaringan. Penggunaan format yang dapat dihapus dan dapat diperbarui melalui Internet membuat pembaruan lebih mudah dilakukan, tetapi juga membuka celah bagi serangan online.
Serangan BIOS tidak memerlukan kerentanannya pada sistem target — setelah penyerang mendapatkan hak akses administratif, mereka bisa mengganti BIOS dengan firmware yang terinfeksi malware melalui internet. Berikut adalah penjelasan tentang serangan rootkit BIOS, seperti yang dijelaskan oleh Joel Hruska di Ars Technica:
Serangan yang dimaksud melibatkan memasukkan BIOS baru ke dalam *flashrom* (alat baca/tulis/ubah BIOS), membuat perubahan yang diperlukan, menyesuaikan semua checksum untuk memastikan BIOS yang dimodifikasi akan diverifikasi sebagai asli… dan kemudian mem-flash-nya. Voila! BIOS yang jahat.
Beberapa peneliti khawatir bahwa rootkit BIOS dapat menjadi ancaman khusus untuk komputasi awan, di mana banyak mesin virtual (VM) berada di satu sistem fisik.
Metode untuk mencegah serangan rootkit BIOS antara lain:
- Menerapkan teknologi tanda tangan digital untuk mencegah akses yang tidak sah.
- Membuat BIOS tidak dapat ditulis ulang.
- Membakar kunci kriptografi perangkat keras ke dalam BIOS saat pembuatan untuk memverifikasi bahwa kode BIOS tidak diubah.
Jika rootkit BIOS yang tidak sah terdeteksi, satu-satunya cara untuk menghapusnya adalah dengan secara fisik mengganti memori tempat BIOS disimpan.
Lihat juga: autentikasi, virtualisasi, CloudAV, blue pill rootkit, RAT (remote access Trojan).