r   e   k   l   a   m   a
r   e   k   l   a   m   a

badBIOS: malware niczym z opowiadań science-fiction

Strona główna AktualnościOPROGRAMOWANIE

Od kilkunastu dni na Twitterze i Google+ rumuński ekspert od bezpieczeństwa IT Dragos Ruiu opowiada historię, w której prawdziwość trudno byłoby uwierzyć – gdyby nie jego osobista renoma. Ruiu jest bowiem jednym z najbardziej szanowanych ludzi w branży, organizatorem konkursu Pwn2Own i konferencji CanSecWest i PacSec, a jego doniesienia dyskutowane są przez specjalistów takich jak Jeff Moss, organizator Defconu i doradca amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego. Poznajcie więc badBIOS, malware o jakim wcześniej świat nie słyszał.

Trzy lata temu Ruiu, pracując w swoim laboratorium, zauważył coś dziwnego – jego Macbook Air ze świeżą kopią OS-a X, ni z tego ni z owego zaktualizował swoje firmware. Po aktualizacji laptopa nie dało się już uruchomić z nośnika optycznego ani też zapisać zmian w konfiguracji – wszystkie wprowadzane zmiany były odwracane na bieżąco. Co gorsze, żadne dostępne oprogramowanie antywirusowe niczego nie wykrywało.

Kilka miesięcy później wydarzyło się coś jeszcze dziwniejszego. Komputer działający pod kontrolą OpenBSD, systemu uważanego za jeden z najbezpieczniejszych i najlepiej zbadanych pod kątem szczelności na świecie, nagle zaczął sam zmieniać swoje ustawienia i kasować zawarte na nim dane bez żadnej interakcji z użytkownikiem. Jednocześnie w sieci lokalnej Ruiu zauważył ruch po IPv6, nawet między komputerami, które miały IPv6 całkowicie wyłączone. Szybko udało się też ustalić, że to, jaki system operacyjny działa na maszynach, jest zupełnie bez znaczenia – oprócz OS-a X i różnych wersji BSD zarażane były maszyny z różnymi wersjami Windows i Linuksa.

Ostatecznie Ruiu, popadając w coraz większą paranoję, skasował wszystko na wszystkich komputerach, instalując w swoim laboratorium oprogramowanie od zera – ale i to nie pomogło. Niczym w szpitalach, w których napotkać można szczepy bakterii odpornych na wankomycynę i inne ekstremalne antybiotyki, tak i w jego miejscu pracy zalęgło się coś, czego nie dało się usunąć w żaden sposób. Po dniach czy tygodniach od wyczyszczenia komputera obserwowane wcześniej objawy wracały, na czele z niemożnością uruchomienia komputera z CD.

Badacz zauważył też coś, co ocierało się o magię. Szalejące w jego laboratorium malware nie tylko nie potrzebowało połączeń sieciowych, by zarazić inne maszyny, ale też było w stanie się samo naprawiać. Infekcja odtwarzana była na maszynach całkowicie odłączonych od sieci, bez Ethernetu, Wi-Fi, Bluetootha czy nawet kabla sieciowego. Mieliśmy fizycznie odizolowany komputer, któremu dopiero co zflashowano BIOS-a, zamontowano nowy dysk twardy i zainstalowano Windows z oryginalnego nośnika (…) w pewnym momencie podczas pracy na tej maszynie edytor rejestru został wyłączony. Pomyślałem wówczas, zaraz, jak to możliwe? Jak maszyna może reagować i atakować oprogramowanie, które chcemy użyć by ją zaatakować? To fizycznie odizolowany komputer, a tu nagle wyszukiwanie w edytorze rejestru przestało działać, gdy zaczęliśmy szukać kluczy – opowiadał rumuński badacz.

Miesiące wytężonej pracy pozwoliły ustalić jednak co nieco na temat zdumiewającego szkodnika, któremu Ruiu nadał nazwę badBIOS. Podstawowym wektorem infekcji mają być nośniki USB – po włożeniu napędu do portu, malware, wykorzystując błąd przepełnienia bufora podczas odczytu nośnika USB, przeprogramowuje kontroler pamięci flash, by zmodyfikował BIOS, a następnie dodaje własną sekcję do BIOS-u. Jest to prawdopodobnie dopiero pierwszy moduł złożonego ładunku, modyfikowanego w zależności od typu systemu operacyjnego ofiary. Ładunku tego badBIOS szuka bądź to w sieci, bądź na samym pendrive, dlatego też wyłącza możliwość uruchamiania systemu z płyty CD – by czasem użytkownik nie uruchomił komputera z systemem, dla którego szkodnik nie ma ładunku.

Nie ma jednak pewności, czy to przez nośnik USB zarażony został pierwszy Macbook Air w laboratorium Ruiu, choć jak do tej pory badacz znalazł kilkanaście pendrive'ow, które zarazić mogą każdy komputer, do którego zostaną podłączone. Więcej informacji uda się mu odkryć podczas najbliższej konferencji PacSec, kiedy to otrzymać ma zaawansowany sprzęt do analizy USB.

Co jednak z tymi zarażonymi komputerami, które komunikują się ze sobą bez kart sieciowych czy nawet bez podłączenia do sieci elektrycznej? Eliminując kolejne interfejsy badacz w końcu został z jednym – wbudowanymi w komputer głośnikiem i mikrofonem. Twórcy szkodnika sięgnęli po najbardziej klasyczny dla ludzi sposób komunikacji. Okazało się, że zarażone maszyny komunikowały się przez połączenie akustyczne, wykorzystując dźwięki wysokiej częstotliwości, poza zakresem słyszalności.

Tajemnicą pozostaje, dlaczego infekcję odkrył u siebie tylko jeden badacz – czyżby ktoś celowo mu podrzucił malware, by uświadomić ludziom, z jakimi zagrożeniami możemy mieć dziś do czynienia? Nam na razie pozostaje tylko śledzić informacje publikowane przez Dragosa. Pod tagiem #badBIOS znajdziecie je na Google+ oraz Twitterze.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.