Malware que puede sobrevivir a la actualización de BIOS

Navega tus respuestas
30

El respetado consultor de seguridad Dragos Ruiu informa sobre que ha sido infectado con un malware misterioso que puede sobrevivir a la reinstalación del sistema operativo y al flasheo del sistema operativo. En otras palabras, tomó una máquina infectada, la limpió, la filtró, volvió a actualizar su BIOS, reemplazó su unidad de disco, instaló un sistema operativo nuevo y, después de iniciar el nuevo sistema operativo, todavía estaba infectado.

¿Cómo podría permanecer esa infección? ¿Qué mecanismos podría usar el malware para mantener sus enlaces en una máquina y sobrevivir tanto a la actualización del BIOS como a la reinstalación del sistema operativo?

Por supuesto, estoy interesado en las posibilidades del mecanismo que podría estar usando el misterioso malware de Dragos, pero no nos detengamos allí. En términos más generales, también estoy interesado en qué mecanismos podría usar el malware para sobrevivir al borrar el disco y el flasheo del BIOS. ¿Qué esquemas podría usar el malware para este propósito?

Esta pregunta tiene implicaciones sobre cómo nos recuperamos de la infección. Un dicho estándar es que, una vez que lo han pirateado, "la única manera de estar seguro es atacar desde la órbita"; en otras palabras, debe limpiar el disco duro y volver a instalar todo desde cero. Tal vez la lección de este malware misterioso es que incluso "matarlo desde la órbita" no es suficiente. Por lo tanto, para comprender lo que debemos hacer para restaurar una máquina infectada a un estado de buena reputación, ayudaría a comprender todas las formas en que el malware podría permanecer residente incluso después de reemplazar el disco duro y volver a flashear el BIOS.

Más antecedentes: esta página resume lo que Dragos ha informado sobre la malware misterioso con el que estaba infectado. Consulte también esta excelente respuesta de Gilles .

    
pregunta D.W. 31.10.2013 - 22:12
fuente

3 respuestas

33

En cuanto a cómo puede suceder que la actualización del BIOS no erradique el malware, podemos aventurar algunas conjeturas:

  • La operación de actualización está bajo el control de ... el BIOS, por lo que el BIOS infectado solo pretende hacer el reflejo (o reinfecta el nuevo BIOS inmediatamente después).

  • Otro firmware flashable en la máquina también está infectado, y cuando éste o el BIOS se vuelven a flashear, el firmware aún infectado reinfecta el otro. Cualquier dispositivo con DMA puede secuestrar la máquina en vivo en cualquier momento, y la mayoría de los dispositivos con firmware tienen una CPU integrada que sería hasta la tarea (GPU, discos duros ...).

  • El firmware del disco está infectado e inserta un código malicioso en el código de inicio que reinfecta el BIOS. (No estoy seguro de que coincida con los síntomas, pero esa es una posibilidad).

El tema común aquí es que toda la actualización se realiza mientras parte de la máquina está activa, por lo que hay una gallina y un huevo: no puede volver a realizar una actualización segura de una máquina que ejecuta código infectado (incluso indirectamente, en el caso de un dispositivo compatible con DMA con su propia CPU), pero si la máquina está apagada, tampoco puede volver a flashear. Idealmente, el chip de la BIOS se eliminaría de la máquina, se volvería a flashear desde otro dispositivo ( sin arrancarlo, por supuesto) y luego se volvería a conectar. Pero estos chips generalmente se sueldan ... sabemos cómo hacer chips conectables, por ejemplo. nada más que la CPU, por lo que es factible sin matar el rendimiento de E / S. Pero me imagino que la soldadura es más barata para el fabricante.

Tal vez los fabricantes podrían agregar algunos JTAG , puertos que permitirían volver a flashear un chip soldado en una placa apagada ( realmente apagado, con el cable de alimentación retirado físicamente).

    
respondido por el Thomas Pornin 31.10.2013 - 22:36
fuente
2

¡Parece completamente inverosímil!

Si asumimos que los informes son precisos (y no estoy seguro de si los observadores estamos calificados para suponer que Dragos es sincero, no está equivocado y no está obligado), entonces solo lleva a tres opciones: / p>

  1. Los medios de almacenamiento (HDD, SSD, unidad USB) no se están limpiando por completo
  2. La BIOS no se está actualizando correctamente
  3. Otros componentes de la computadora se están utilizando como un depósito donde el virus permanece inactivo

Me complace aceptar que el número 1 es improbable, al menos para los medios magnéticos.

La opción # 2 puede ser posible si el flash se realiza en el sistema infectado (que puede (?) ser capaz de rechazar el flash y dar la ilusión de éxito). La prueba de concepto se ha demostrado en Black Hat 2013 por Butterworth, Kallenberg y Kovah [PDF] .

La prueba de concepto del # 3 ha sido demostrada por Brossard en Black Hat 2012, y quizás sea El más plausible de los escenarios ya bastante raros de arriba. Una lectura rápida de los enlaces proporcionados no parece mostrar que este ángulo fue considerado por Dragos.

  

El investigador de seguridad Jonathan Brossard creó una prueba de concepto   puerta trasera de hardware llamada Rakshasa que reemplaza el BIOS de una computadora   (Sistema de entrada básico de salida) y puede comprometer el sistema operativo en   tiempo de arranque sin dejar rastros en el disco duro.

     

Brossard, quien es CEO e ingeniero de investigación de seguridad en seguridad francesa   La empresa Toucan System, demostró cómo funciona el malware en el   Conferencia de hackers de Defcon el sábado, luego de presentarla en el   Conferencia de seguridad de Black Hat el jueves. ... Rakshasa reemplaza al   BIOS de la placa base, pero también puede infectar el firmware PCI de otros   dispositivos periféricos como tarjetas de red o CD-ROM, con el fin de lograr   un alto grado de redundancia.

¡Supongo que lo mejor que se puede hacer con objetivos de alto valor es reconstruir desde medios buenos conocidos hasta hardware bueno conocido! No es tan malo como parece, porque en estos días el hardware es barato, especialmente para dichos objetivos de alto valor.

    
respondido por el scuzzy-delta 31.10.2013 - 22:38
fuente
0

De su pregunta no queda claro si el contenido del disco duro se eliminó correctamente. La reinstalación del sistema operativo ciertamente no garantiza que la unidad haya sido eliminada. Si la unidad fuera extraída de la computadora infectada y reemplazada o eliminada correctamente en otra máquina, sería plausible ignorar la posibilidad de que el malware aún esté presente en ella. El malware de firmware y BIOS tiene poco uso fuera de un ataque específico restringido o prueba de conceptos.

    
respondido por el user94592 04.05.2015 - 16:16
fuente

Lea otras preguntas en las etiquetas

¿Cómo funcionan los DoS / DDoS? ¿Cuánto tiempo debe durar un nonce aleatorio?