Od kilkunastu dni na Twitterze i Google+ rumuński ekspert od bezpieczeństwa IT Dragos Ruiu opowiada historię, w której prawdziwość trudno byłoby uwierzyć – gdyby nie jego osobista renoma. Ruiu jest bowiem jednym z najbardziej szanowanych ludzi w branży, organizatorem konkursu Pwn2Own i konferencji CanSecWest i PacSec, a jego doniesienia dyskutowane są przez specjalistów takich jak Jeff Moss, organizator Defconu i doradca amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego. Poznajcie więc badBIOS, malware o jakim wcześniej świat nie słyszał.
Trzy lata temu Ruiu, pracując w swoim laboratorium, zauważył coś dziwnego – jego Macbook Air ze świeżą kopią OS-a X, ni z tego ni z owego zaktualizował swoje firmware. Po aktualizacji laptopa nie dało się już uruchomić z nośnika optycznego ani też zapisać zmian w konfiguracji – wszystkie wprowadzane zmiany były odwracane na bieżąco. Co gorsze, żadne dostępne oprogramowanie antywirusowe niczego nie wykrywało.
Od kilkunastu dni na Twitterze i Google+ rumuński ekspert od bezpieczeństwa IT Dragos Ruiu opowiada historię, w której prawdziwość trudno byłoby uwierzyć – gdyby nie jego osobista renoma. Ruiu jest bowiem jednym z najbardziej szanowanych ludzi w branży, organizatorem konkursu Pwn2Own i konferencji CanSecWest i PacSec, a jego doniesienia dyskutowane są przez specjalistów takich jak Jeff Moss, organizator Defconu i doradca amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego. Poznajcie więc badBIOS, malware o jakim wcześniej świat nie słyszał.
Trzy lata temu Ruiu, pracując w swoim laboratorium, zauważył coś dziwnego – jego Macbook Air ze świeżą kopią OS-a X, ni z tego ni z owego zaktualizował swoje firmware. Po aktualizacji laptopa nie dało się już uruchomić z nośnika optycznego ani też zapisać zmian w konfiguracji – wszystkie wprowadzane zmiany były odwracane na bieżąco. Co gorsze, żadne dostępne oprogramowanie antywirusowe niczego nie wykrywało.
Badacz zauważył też coś, co ocierało się o magię. Szalejące w jego laboratorium malware nie tylko nie potrzebowało połączeń sieciowych, by zarazić inne maszyny, ale też było w stanie się samo naprawiać. Infekcja odtwarzana była na maszynach całkowicie odłączonych od sieci, bez Ethernetu, Wi-Fi, Bluetootha czy nawet kabla sieciowego. Mieliśmy fizycznie odizolowany komputer, któremu dopiero co zflashowano BIOS-a, zamontowano nowy dysk twardy i zainstalowano Windows z oryginalnego nośnika (…) w pewnym momencie podczas pracy na tej maszynie edytor rejestru został wyłączony. Pomyślałem wówczas, zaraz, jak to możliwe? Jak maszyna może reagować i atakować oprogramowanie, które chcemy użyć by ją zaatakować? To fizycznie odizolowany komputer, a tu nagle wyszukiwanie w edytorze rejestru przestało działać, gdy zaczęliśmy szukać kluczy – opowiadał rumuński badacz.
Miesiące wytężonej pracy pozwoliły ustalić jednak co nieco na temat zdumiewającego szkodnika, któremu Ruiu nadał nazwę badBIOS. Podstawowym wektorem infekcji mają być nośnika USB – po włożeniu napędu do portu, malware, wykorzystując błąd przepełnienia bufora podczas odczytu nośnika USB, przeprogramowuje kontroler pamięci flash, by zmodyfikował BIOS, a następnie dodaje własną sekcję do BIOS-u. Jest to prawdopodobnie dopiero pierwszy moduł złożonego ładunku, modyfikowanego w zależności od typu systemu operacyjnego ofiary. Ładunku tego badBIOS szuka bądź to w sieci, bądź na samym pendrive, dlatego też wyłącza możliwość uruchamiania systemu z płyty CD – by czasem użytkownik nie uruchomił komputera z systemem, dla którego szkodnik nie ma ładunku.
Nie ma jednak pewności, czy to przez nośnik USB zarażony został pierwszy Macbook Air w laboratorium Ruiu, choć jak do tej pory badacz znalazł kilkanaście pendrive'ow, które zarazić mogą każdy komputer, do którego zostaną podłączone. Więcej informacji uda się mu odkryć podczas najbliższej konferencji PacSec, kiedy to otrzymać ma zaawansowany sprzęt do analizy USB.
Co jednak z tymi zarażonymi komputerami, które komunikują się ze sobą bez kart sieciowych czy nawet bez podłączenia do sieci elektrycznej? Eliminując kolejne interfejsy badacz w końcu został z jednym – wbudowanymi w komputer głośnikiem i mikrofonem. Twórcy szkodnika sięgnęli po najbardziej klasyczny dla ludzi sposób komunikacji. Okazało się, że zarażone maszyny komunikowały się przez połączenie akustyczne, wykorzystując dźwięki wysokiej częstotliwości, poza zakresem słyszalności.
Tajemnicą pozostaje, dlaczego infekcję odkrył u siebie tylko jeden badacz – czyżby ktoś celowo mu podrzucił malware, by uświadomić ludziom, z jakimi zagrożeniami możemy mieć dziś do czynienia? Nam na razie pozostaje tylko śledzić informacje publikowane przez Dragosa. Pod tagiem #badBIOS znajdziecie je na Google+
Witaj gościu. Dziękujemy, że przeglądasz nasze forum ale czy wiesz, że zakładając konto możesz w pełni korzystać z dobrodziejstw jakimi są promocje i konkursy. Nie zobaczysz tu też żadnych reklam a rejestracja zajmie Ci tylko chwilę.
Ta strona wykorzystuje ciasteczka (cookies) w celu: utrzymania sesji zalogowanego Użytkownika, gromadzenia informacji związanych z korzystaniem z serwisu, ułatwienia Użytkownikom korzystania z niego, dopasowania treści wyświetlanych Użytkownikowi oraz tworzenia statystyk oglądalności czy efektywności publikowanych reklam.Użytkownik ma możliwość skonfigurowania ustawień cookies za pomocą ustawień swojej przeglądarki internetowej. Użytkownik wyraża zgodę na używanie i wykorzystywanie cookies oraz ma możliwość wyłączenia cookies za pomocą ustawień swojej przeglądarki internetowej.
