» »

Nov rod zalege - BIOS virusi

Nov rod zalege - BIOS virusi

Alfredo Ortega

Slo-Tech - Dva raziskovalca iz podjetja Core Security Technologies sta na konferenci CanSecWest predstavila nove metode okužbe BIOSa, ki omogoči neverjetno trdoživo zalego. Pozabite antivirusne programe, posodobitve, krpanje lukenj v sistemu, formatiranje in celo ponovno flashiranje BIOSa - metode, ki sta jih predstavila avtorja Anibal Sacco in Alfredo Ortega lahko bojda preživijo vse to. Glavna prednost napada je, da ga je skoraj nemogoče odkriti in je neodvisen od operacijskega sistema. Edino olajševalno dejstvo je, da za napad potrebujeta administratorske privilegije ali fizični dostop. Več o tem.

57 komentarjev

«
1
2

CoolBits ::

Dobro, da apple uporablja EFI in ne bios. :)
Zaskrbljujoča novica...

war-dog ::

Zaskrbljujoča novica za vse administratore na šolah, univerzah in drugih javno dostopnih prostorov z računalniki...
Object reference not set to an instance of an object.

Zgodovina sprememb…

  • spremenil: war-dog ()

Valvoline ::

Jah,bo treba fizično zaklenit biose,da se jih ne da flashat :)

ALT ::

no ne trdim da je povsod tako, ampak kokr sm vidu do zdj so po šolah univerzah itd računalniki z omejenimi računi in ne administrativnim dostopom.

ender ::

EFI uporabljajo tudi novejši HPjevi prenosniki.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Keyser Soze ::

Joj, saj razumem, da človeka ne smeš sodit po "kanti", samo tale Ortega ne zgleda glih zaupanja vreden.

Silvo Plut reenacted. >:D
OM, F, G!

Prospekt ::

Še dobro da je pogruntal nov način okužbe, kaj bi brez njega :|

keber ::

Joj, saj razumem, da človeka ne smeš sodit po "kanti", samo tale Ortega ne zgleda glih zaupanja vreden.

Kaj ne poveš? Saj je samo pogruntal nov način vloma v računalnik. Res zaupanja vredno ...

R33D3M33R ::

Kaj pa če imaš v BIOSu nastavljeno, da je flash onemogočen?
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

Boomer1911 ::

zakaj svet potrebuje take bedarije...:8)
Intel P4 3.0E @ 3.86GHz | 1GB DDR400 | Asus N7600GS | 2x 500GB & 320GB HDD
ASUS K50IN series | Core 2 Duo 2.53GHz | 4GB DDR2 | GeForce G102M | 500GB HDD

Relanium ::

Zato ker eni nimajo kej bolj pametnega za delat

pecorin ::

hehe, ja kaj mu bo neko raziskovanje. kdo to rabi. naj raje ves cas igra igrice in gleda serije pa bo dosti bolj uspesen :)

filip007 ::

Moja plata ima UEFI pa ni nič posebnega...
Trevor Philips Industries

Tear_DR0P ::

a je to zars nov način napada?bios hacki so že od prej poznani. edino kar mi ni jasno, kam se "virus" zapiše, da preživi flashanje biosa
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

blackbfm ::

Saj ga ne preživi. Drugač pa stara zadeva. Sploh pa ne bi reku da je kej preveč dobra metoda tole.

Relanium ::

Ja to z BIOSem že obstaja dlje cajta ker sm že pred enimi 3 leti šel enim kolegom mal računalnik spucat pa je vsake neki cajta pokazalo na ekranu črn kvadratek pa notr pisalo: Virus!

Formatiranje ni pomagalo, pač pa sem samo ugasnil mašino, jo odklopil iz omrežja pa za enmal vzel baterijo z osnovne dol, jo dal nazaj gor pa je bla stvar rešena. Hvalabogu!

phantom ::

@Relanium:

Ta tvoj prijatelj je imel verjetno v BIOSu vklopljeno "protivirusno zaščito", ki opozori, ko kakšen program (npr. Windows ali virus) hoče pisat po prvem sektorju diska. Ko si baterijo ven vzel si samo zresetiral nastavitve od BIOSa na default in tako izlopil to zaščito (po defaultu je vedno izklopljena, ker ti onemogoča inštalacijo OS oz. bootloaderja). Virusa pa s tem zagotovo nisi odstranil.
~
~
:wq

st0jko ::

nima se kam shranit če odstraniš baterijo....
keks?

5er--> ::

@stojko88: Torej se po tvoje shranjuje na bateriji?
phantom +1

jlpktnst ::

Smartass galore.

Hja lahko ti prepreči nadaljno flashanje biosa kajne? Oz verjetno gre fejkat flashanje biosa ali kaj podobnega. Oz se namesti na nerabljen del flash pomnilnika. Možnosti je nekaj, nobena pa ni 100% zanesljiva.

Dejstvo pa obstaja, da je to dokaj težko odkrit, podobno kot v hardware vgrajene trojance :D

V končni fazi ti lahko nekdo flasha firmware na disku ali na mrežni kartici in ti tako bere podatke, ne?

Icematxyz ::

Vsak strup dobi protistrup. Ni toliko problem da "ozaveščeni" uporabniki ne bi znali situacije popraviti.

Ampak koliko pa je takšnih? Je takšnih uporabnikov 10%?

c00L3r ::

Kaj pa Gigabyte-ov Dual Bios oz. Quad Bios se pobere od takega napada?

Sicer pa bo to tako ali tako kmali stvar preteklosti. Vista x64 in Server 2008 x64 podpirata EFI, če se ne motim. Samo vprašanje časa je, kdaj se bo opustil BIOS.

Se pa pojavi drug problem. Ko se bo BIOS opustil, ne bo več možno neposredno namestit starejših OS-ov. Potrebno bo implementirat nekaj podobnega Boot Camp-u, ki EFI-u omogoča BIOS kompatibilnost. Kaj pa tukaj? Je tudi v tej kompatibilnosti nevarnost BIOS virusa?

blackbfm ::

S povprečnim uporabnikom se noben ne bo šu zajebavat. Se mi zdi da je več možnosti da ti uniči HW, kot pa uspešno naloži trojanca. Firme, ki bi pa znale bit prave tarče recimo, da obdelujejo neke zaupne podatke imajo pa verjetno itak preveč keša in si lahko privoščijo strokovnjake pa naj to odkrivajo.

cryptozaver ::

Všeč mi je tole:

And the best part is, the method worked on a Windows machine, a PC running OpenBSD and another running VMware Player.

Se pravi Linux je očitno imun...

Icematxyz ::

Je pa skrajno neprijetna stvar to. Ker klasični antivirus tukaj nima moči. Oziroma opozori lahko vrjetno in morda celo ukrepa da skuša kaj preprečevati. Ampak nima pa zaenkrat možnosti odstranitve. To bo skoraj nuja proizvajalcev matičnih plošč postala če bo tako.

S tem da vprašanje koliko časa bi moralo miniti da bi se vsi proizvajalci zganili.

Zgodovina sprememb…

st0jko ::

ja linux je pa imun, ker računalniki z linuxom nimajo biosa.

;((

edit:
5er-->

ja... baterijo pa itak lohk vzameš ven in z alkoholom razkužiš.
keks?

Zgodovina sprememb…

  • spremenil: st0jko ()

misek ::

ja linux je pa imun, ker računalniki z linuxom nimajo biosa
No, to verjetno ni čisto prav rečeno. Bolj pravilno je to, da BIOS ne uporabljajo, ko enkrat tečejo. Ampak računalniki ga pa še vedno imajo.
Se pa sprašujem, kako poženeš Linux na klasičnem računalniku z BIOS-om, ki ima le-tega pokvarjenega. Saj za zagon operacijskega sistema pa se še vedno rabi BIOS ali ne?

phantom ::

Dvomim, da je linux imun na tole. Če dela na OpenBSD, verjetno deluje na vseh unixih.

Sicer pa, zakaj bi bil EFI na tole imun? Če prav vem, se ga da tudi flashat, pa driverje za stvari na plati vsebuje (to so driveji, ki delujejo na vseh OS s podporo EFI, z razliko od BIOSa, ki vsebuje le driverje za DOS, ki se itak ob zagonu modernega OS popucajo iz RAMa). Po mojem je EFI kvečjemu bolj ranljiv.

edit: typo
~
~
:wq

Zgodovina sprememb…

  • spremenil: phantom ()

blackbfm ::

Tole je preveč tehnično zahtevno in nikdar ne bo virus v pravem pomenu besede, kot to hočjo prikazat v članku. Tko da brezveze, je lažje in dosti bolj efektivno izkoristit recimo brskalnik.

cryptozaver ::

Ni v tem joke.

Izsledljivost je tu problem.

blackbfm ::

Zakaj? Saj se ve kdo uporablja komp.

cryptozaver ::

100% fizične varnosti ni, oz, je potrebno zanjo kolikor se da poskrbet.

Za en tak napad z malo vztrajnosti lahko usposobiš čistilko, ki popoldan ko nikogar ni več v službi, briše prah s tvojega računalnika ali bognedaj strežnika...

Zgodovina sprememb…

blackbfm ::

Zdaj si loh zmisliš še 100 stvari, jaz pa tut. Ne pretiravaj no:)

jishiri ::

"Relanium :: danes, 12:27:17
Zato ker eni nimajo kej bolj pametnega za delat"

jaz sem drugacnega mnenja, pravzaprav podravljam take raziskovalce ki iscejo take ali drugacne varnosne luknje, saj je bolje da jih oni kot pa tisti ki uporabljajo luknje za svojo korist.

hodite le na take spletne strani ki jih poznate kot velja tudi za maile in ostale programe in bo vas comp virus-free :D

jishiri ::

"cryptozaver :: danes, 15:11:43

100% fizične varnosti ni, oz, je potrebno zanjo kolikor se da poskrbet.

Za en tak napad z malo vztrajnosti lahko usposobiš čistilko, ki popoldan ko nikogar ni več v službi, briše prah s tvojega računalnika ali bognedaj strežnika..."

hecno, ne vrjamem da bi sploh nekomu ratalo usposobt snezilko za ta namen :D

eter ::

jest sem loh snažilka:D
Don't worry, probably i'm wrong.

legice ::

ja res se bo treba pazt snežilk pa hišnikov...in etra zgoraj:))
Prekopu vrt in našu Bin Ladna

RuskiSnajper ::

bla bla bla


je gdo ze sliso za štekar in kabel?

denial ::


Dobro, da apple uporablja EFI in ne bios.


Škoda ker Apple ne uporablja tudi ASLR/NX...
SELECT finger FROM hand WHERE id=3;

Pyr0Beast ::

Hmm, in kam naj bi se ta koda prezrcalila v bios ? Zadeva je že tako ali drugače natlačena kat se tiče podpore za HW in raznih opcij, dodaj še par vrstic kar nekam vmes in sistem se ne zažene več.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

CaqKa ::

Tole je preveč tehnično zahtevno in nikdar ne bo virus v pravem pomenu besede, kot to hočjo prikazat v članku. Tko da brezveze, je lažje in dosti bolj efektivno izkoristit recimo brskalnik.

fak.. eh... toti virusi so za en k...
včasih smo se pajtlali na določen dan ali je bil AV uspešen, ali pa bomo imeli izbrisan disk.
cajti hardcore virusov se očitno vračajo :>
to čemur danes rečemo virus bi kvečjemu lahko rekli da so pussy virusi...

pravi virusi so ti zradirali disk ali pa kaj takega :>

remember: Michelangelo (computer virus) @ Wikipedia
CIH (computer virus) @ Wikipedia ?

Zgodovina sprememb…

  • spremenil: CaqKa ()

blackbfm ::

Mislm da sm enkat CIH fasu ja. Sam ti virusi niso bli "tržno" zanimivi heheh:P

ender ::

Hmm, in kam naj bi se ta koda prezrcalila v bios ? Zadeva je že tako ali drugače natlačena kat se tiče podpore za HW in raznih opcij, dodaj še par vrstic kar nekam vmes in sistem se ne zažene več.
Težko boš našel BIOS, v katerm ni neizkoriščenega prostora - vedno je še kakšen kilobajt prost, če pa to ne, pa lahko odstraniš cel kup nepotrebne šare (razni logotipi, animacije, boot ROM za mrežno kartico, RAID rom - vse to sem že odstranjeval, da sem lahko not stlačil lepšo celozaslonsko sliko)
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

denial ::

V prezentaciji sicer ni eksplicitno navedeno, vendar obstaja preprost način mitigacije "BIOS napada": digitalno podpisani (flash) updejti. In fact, zadeva je bila testirana na starem Phoenix-Award BIOS-u.

There's always a catch...
SELECT finger FROM hand WHERE id=3;

R33D3M33R ::

Zna mogoče kdo odgovoriti na to?

Kaj pa če imaš v BIOSu nastavljeno, da je flash onemogočen?


Ali gre brez? Vem, da se je včasih dalo s programom debug delati zanimive zadeve >:D
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

fiction ::

Ideja ni ravno nova, to je pomoje bolj misljeno kot PoC.

Dvomim, da je linux imun na tole. Če dela na OpenBSD, verjetno deluje na vseh unixih.
To sicer ni nujno res. Ampak v tem primerui je jasno, da noben OS ni imun. Ne moras nekaj sklepati samo po tem, ker ni eksplicitno nasteto. Ko prizges x86 masino bo CPU v real-modu izvedel ukaz na F000:FFF0. Do zagona OS in preklopa v protected-mode je se kar dolga pot (in kjerkoli na tej poti je lahko backdoor). Potem lahko pride teoreticno se zabava z virtualizacijo (BluePill).

Tudi glede EFI se strinjam s phantomom. Extensible Firmware Interface. Razsirljivost je lahko dvorezen mec, ker se da vsaka stvar tudi "razsiriti" v slabe namene. Tisto bo kvecjemu se lazje za napadalce.

Bolj pravilno je to, da BIOS ne uporabljajo, ko enkrat tečejo.
Ne uporabljajo INT 13 storitev BIOS-a. BIOS ima namrec neke vrste driverje za dostop do diska, ki jih programi v real-modu lahko klicejo s pomocjo programskih prekinitev. Drugace bi imeli chicken-and-egg problem (driverji za disk se ne bi dali prebrati, ker ne bi bilo driverjev za disk). Tako je pa osnovna funkcionalnost implementirana ze v firmwaru in se da lepo bootati z diska. Kasneje se to ne uporablja vec. Torej ni tako, da bi vsak dostop do diska sel "cez BIOS".

Ta funkcionalnost je tudi nacin kako "zgoden backdoor" kasneje vpliva na nalozen OS. Direktno lahko prepise nekaj na disku. Raziskovalci so pri UNIX sistemih mislim da prepisali datoteko z gesli (ki so jo mogli najprej najti s sprehodom cez sektorje), ampak v principu se da tudi kako drugace vplivati na to kaksen OS se nalozi oz. propagirati drug backdoor tja.
Samo, da je to se veliko bolj komplicirano.

Kar se tice tistih virusov: Ja, ze vcasih se je flashanje BIOS-a "s pridom" uporabljajo. Samo, da je prej bilo to zato, da je bil virus bolj destruktiven in tako privabil vecjo pozornost, medtem ko gre zdaj trend k malwaru, ki prinasa denar in mora zato biti cim tezji za odkriti oz. cim bolj globoko naseljen, da prezivi tudi pucanje diska.

Pyr0Beast ::

Težko boš našel BIOS, v katerm ni neizkoriščenega prostora - vedno je še kakšen kilobajt prost, če pa to ne, pa lahko odstraniš cel kup nepotrebne šare (razni logotipi, animacije, boot ROM za mrežno kartico, RAID rom - vse to sem že odstranjeval, da sem lahko not stlačil lepšo celozaslonsko sliko)
Seveda lahko pobrišeš kaj ven, vendar kajkmalu kaj preveč. Zadeva ni ravno izvedljiva.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

fiction ::

Zadeva ni ravno izvedljiva.
Ravno to je bil najbrz drill za raziskovalce. Vse skupaj se da, samo ni pa trivialno. Bo pa pomoje zelo tezko narediti nekaj "prakticno uporabnega". Seveda je pa cisto mogoce, da se je kdo ze toliko potrudil in to kot "0-day backdoor" uporablja. Tudi na EEPROM-u od mrezne je teoreticno lahko ze zlobna koda.

digitalno podpisani (flash) updejti
DRM all the way. Naj samo se velika podjetja dolocajo kaj lahko tece na mojem racunalniku! :) A se ne bi dalo to bolj enostavno resiti z nekim fizicnim WE stikalom, ki bi bil po defaultu izklopljen - magari kot jumper na maticni? Sigurno to ze obstaja.

Za en tak napad z malo vztrajnosti lahko usposobiš čistilko, ki popoldan ko nikogar ni več v službi, briše prah s tvojega računalnika ali bognedaj strežnika...
Hja, samo resne streznike imas ponavadi v racku lepo zaklenjene. Cistilka lahko brise prah okrog omare, do masin pa ne more. Drugace lahko pride do problemov tudi ce cistilka ni zlobna (izklopi elektriko, ker stroji prevec brnijo, <insert other stupidity here>).

Zgodovina sprememb…

  • spremenil: fiction ()

Pyr0Beast ::

Seveda je pa cisto mogoce, da se je kdo ze toliko potrudil in to kot "0-day backdoor" uporablja.

Seveda da. Ali pa prerihtan FW na mrežni, da podatke pošilja še kam drugam.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

OWASP Slovenija

Oddelek: Informacijska varnost
204806 (2156) owaspslo
»

Vstop v zaščitene prostore kar z android aplikacijo

Oddelek: Novice / Varnost
113860 (2786) atom_monkey
»

Predstavitev Ring -3 rootkitov na BlackHat konferenci

Oddelek: Novice / Varnost
83570 (3034) jype
»

Predstavljen nov način napada na anonimizacijsko omrežje Tor

Oddelek: Novice / Varnost
155117 (4184) poweroff

Več podobnih tem