Malware che può sopravvivere al re-flashing del BIOS

30

Il rinomato consulente per la sicurezza Dragos Ruiu sta segnalando che è stato infettato da malware misterioso che può sopravvivere alla reinstallazione del sistema operativo e al flashing del sistema operativo. In altre parole, ha preso una macchina infetta, l'ha cancellata, compressa in aria, ha rifatto il suo BIOS, sostituito il suo disco, installato un nuovo sistema operativo e dopo aver avviato il nuovo sistema operativo, era ancora infetto.

Come può rimanere una tale infezione? Quali meccanismi potrebbero utilizzare il malware, per mantenere i suoi hook in una macchina e sopravvivere sia al re-flashing del BIOS sia alla re-installazione del sistema operativo?

Naturalmente sono interessato alle possibilità di quale meccanismo potrebbe utilizzare il misterioso malware di Dragos, ma non ci fermiamo qui. Più in generale, sono interessato anche ai meccanismi che il malware potrebbe utilizzare per sopravvivere alla cancellazione del disco e al flashing del BIOS. Quali schemi potrebbero utilizzare il malware per questo scopo?

Questa domanda ha implicazioni su come ci riprendiamo dall'infezione. Un proverbio standard è che, una volta che sei stato hackerato, "L'unico modo per essere sicuri è nuotare dall'orbita" - in altre parole, devi pulire il disco rigido e reinstallare tutto da zero. Forse la lezione di questo misterioso malware è che anche "nuotare dall'orbita" non è abbastanza. Quindi, per capire cosa dobbiamo fare per ripristinare una macchina infetta a uno stato noto, sarebbe utile capire tutti i modi in cui il malware potrebbe rimanere residente anche dopo la sostituzione del disco rigido e il re-flash del BIOS.

Altro sfondo: questa pagina riassume ciò che Dragos ha riferito del malware misterioso con cui è stato infettato. Vedi anche questa risposta eccezionale di Gilles .

    
posta D.W. 31.10.2013 - 22:12
fonte

3 risposte

33

Per quanto riguarda il modo in cui può accadere che il reflash del BIOS non sradichi il malware, possiamo azzardare alcune ipotesi:

  • L'operazione di reflash è sotto controllo di ... il BIOS, quindi il BIOS infetto finge solo di fare il reflash (o reinfects il nuovo BIOS subito dopo).

  • Anche un altro firmware flashable nella macchina è infetto e quando il BIOS o il BIOS viene rilanciato, il firmware ancora infetto reinfetta l'altro. Qualsiasi dispositivo con DMA può dirottare la macchina live in qualsiasi momento e la maggior parte dei dispositivi con un firmware ha una CPU integrata che sarebbe fino all'attività (GPU, dischi rigidi ...).

  • Il firmware del disco è infetto e inserisce codice dannoso nel codice di avvio che reinfects il BIOS. (Non è sicuro che corrisponda ai sintomi, ma questa è una possibilità.)

Il tema comune qui è che tutto il reflashing viene eseguito mentre parte della macchina è attiva, quindi c'è un chicken-and-egg: non è possibile eseguire il reflash sicuro da una macchina che esegue il codice infetto (anche indirettamente, nel caso di un dispositivo DMA con la propria CPU), ma se la macchina è spenta non è possibile eseguire il reflash. Idealmente, il chip del BIOS verrebbe rimosso dalla macchina, rispolverato da un altro dispositivo ( senza , avviandolo, ovviamente), e quindi ricollegato. Ma questi chip sono solitamente saldati ... Sappiamo come creare chip collegabili - ad es. nientemeno che la CPU, quindi è fattibile senza uccidere le prestazioni di I / O. Ma immagino che la saldatura sia più economica per il produttore.

Forse i produttori potrebbero aggiungere alcuni JTAG -come i porti che consentirebbero il reflashing di un chip saldato in una scheda spenta ( veramente spento, con il cavo di alimentazione rimosso fisicamente).

    
risposta data 31.10.2013 - 22:36
fonte
2

Sembra completamente inverosimile!

Se assumiamo che i rapporti siano accurati (e sono incerto se noi osservatori siamo qualificati per affermare che Dragos è veritiero, non errato, e non forzato?), quindi porta solo a tre opzioni:

  1. I supporti di memorizzazione (HDD, SSD, unità USB) non vengono completamente cancellati
  2. Il BIOS non viene visualizzato correttamente
  3. Altri componenti del computer vengono utilizzati come riserva in cui il virus giace dormiente

Sono felice di accettare che il # 1 sia improbabile, almeno per i supporti magnetici.

L'opzione n. 2 potrebbe essere possibile se il flash viene eseguito sul sistema infetto (il che potrebbe (?) essere in grado di respingere il flash e dare l'illusione di avere successo). La dimostrazione del concetto è stata dimostrata a Black Hat 2013 da Butterworth, Kallenberg, e Kovah [PDF] .

La dimostrazione del concetto di # 3 è stata dimostrata da Brossard a Black Hat 2012, ed è forse il più plausibile degli scenari già abbastanza rari sopra. Una rapida lettura dei collegamenti forniti non sembra mostrare che questa angolazione è stata considerata da Dragos.

Security researcher Jonathan Brossard created a proof-of-concept hardware backdoor called Rakshasa that replaces a computer's BIOS (Basic Input Output System) and can compromise the operating system at boot time without leaving traces on the hard drive.

Brossard, who is CEO and security research engineer at French security company Toucan System, demonstrated how the malware works at the Defcon hacker conference on Saturday, after also presenting it at the Black Hat security conference on Thursday. ... Rakshasa replaces the motherboard BIOS, but can also infect the PCI firmware of other peripheral devices like network cards or CD-ROMs, in order to achieve a high degree of redundancy.

Quindi suppongo che la cosa migliore da fare per obiettivi di alto valore sia ricostruire da buoni media noti su hardware ben noto! Non male come sembra, perché in questi giorni l'hardware è economico, soprattutto per i target di alto valore.

    
risposta data 31.10.2013 - 22:38
fonte
0

Non è chiaro dalla tua domanda se il contenuto del disco rigido è stato correttamente cancellato. La reinstallazione del sistema operativo non garantisce certamente che l'unità sia stata cancellata. Se l'unità è stata estratta dal computer infetto e sostituita o correttamente spazzata via su un'altra macchina, sarebbe plausibile ignorare la possibilità che il malware sia ancora presente su di essa. I malware firmware e BIOS hanno scarso utilizzo al di fuori di un attacco o prova di concetti ristretto.

    
risposta data 04.05.2015 - 16:16
fonte

Leggi altre domande sui tag