Názory k článku
Mebromi: BIOS rootkit usazující se v základní desce
-
David (neregistrovaný)
Asi budu povazovan za hlupaka a nevzdelance, ale jak ma BIOS rozlisit tento skodlivy kod od legalniho upgradu?. Nemam na mysli nejaky jumper na zakladni desce, ktery flashku prepne do RO rezimu - to neni vec BIOSu, ale hw prostredek zakladni desky. Takze opakuji otazku: Jak muze BIOS rozlisit legalni a nelegalni upgrade? Diky za vysvetleni.
-
Jedna moznost je umoznit jenom upgrade z dat podepsanych nejakym klicem, ale aby to neslo obejit (treba podstrcit validni update pro verifikaci klicem a pak podstrcit upravene data ve chvili kdyz se to zacne "palit" do *ROM), tak by to vyzadovalo nejspis dedikovany chip na desce s private key natvrdo nadratovanym uvnitr ktery by jediny mel pristup k zapisu a neslo by ho obejit. A i tak existuje riziko ze unikne ven private key a tvurce malware si pak podepise update sam.
Takze celkove bych napsal jen to, co jsem psal presne v ten den kdy se objevila prvni zprava o "flash BIOSu" ktery jde upgradovat. Pokud to nema jumper na zablokovani zapisu, tak je to hodne nebezpecne. Co se ukazuje vzhledem ke stari meho prohlaseni a mnozstvi malware ktery toho zneuziva jako prilis pesimisticky odhad, tvurci malware sli velmi dlouho cestou mensiho odporu a na BIOS se zacali osklive divat az v dobe kdy uz prolomit bezny OS/AV neni tak snadne, resp. kdy financni zisky z napadenych stroju stoupaji tak, ze se vyplati nimrat i v BIOSu.
Ale doba uz myslim dozrala a blokovani skrz jumper je dnes asi nutnost, pokud chcete systemu alespon trochu duverovat. (nebo kvalitni rootkit vyhledavac, ktery dokaze heuristicky odhalit i beh pod neznamym hypervizorskym rootkitem z BIOSu, resp. cokoli nestandardniho na behu OS).
-
takato metoda ze BIOS bol v ROMke, to bolo u starsich pocitacov (od 286 do pentiii), ale potom sa z toho upostilo, alebo ROM BIOS sa nedal aktualizovat, tak nahradili ROM BIOS FlashBIOSom a tym umoznili jednoduchy upgrade BIOSu, ale pri napadnuti takehoto BIOSu rootkitom musi autor toho rootkitu poznat vsetky specifikacie BIOSov dosiek, v inom pripade by dosku mohol uplne znefunkcnit
-
Tohle neni o upgrade. Pokud jsem to spravne pochopil, ten sajrajt se do BIOSu namontuje z beziciho OS. Cili ten jumper, ktery se vam tak hnusi, by byl naprosto idealni. Bohuzel, jumper se jiz delsi dobu hnusi i spouste vyrobcu. A pritom by mohl byt i na notebooku, treba pod baterkou nebo vedle pametoveho slotu. Tak casto clovek BIOS neupgraduje, aby si kvuli tomu dal nohu za krk. Furt lepsi, nez mit permanentne nemocny pocitac nebo dokonce cihlu. Jenze vyrobci udelali z upgradu BIOSu hracku s Windows aplikaci s interfacem, jak z nejake dementni hry z Marsu, aby to zvladl i BFU, ktery ani nevi, co dela a co se pri tom muze posrat.
-
M@v (neregistrovaný)
Naprosty souhlas. Bohuzel dneska muze "technika" delat skoro kdokoliv a podle toho to taky mnohde vypada. A naprosto nejvetsi tragedie potom je, kdyz ho hodnoti management, ktery o IT nema ani poneti a tak "ajtik" preci odvadi excelentni praci a drzi vsechny nase systemy, na kterych jsme zavisli, nad vodou :-(
-
nešťastnice (neregistrovaný)
Také by zasloužil pár facek programátoři ve firmě freedom scientific která sídlí ve spojených státech amerických a naprogramovali program a vypouští na svět který po jeho instalaci pokud je bios dělaný tak aby mohl být napaden tak ve vteřině je v biosu rootkit usazující se v základní desce. člověk jménem Michal Jungmann který je pracovník firmy Galop s.r.o. a je daného programu dovozcem chce vydělat prachy tak BIOS rootkit usazující se v základní desce a že je to způsobeno tímto programem nehodlá přiznat pochybuje o tom z důvodu že setím nehodlá zabývat. Daný program jsem našla na místě činu. Jestli je někdo kdo tvoří hrozbu BIOS rootkit usazující se v základní desce tak jsou to programátoři firmy z freedom scientific a Michal Jungmann z firmy Galop což je dovozce daného programu do ČR a zároveň překládá daný program do češtiny, neopraví po těch Američanech tu zločinskou hrozbu a vypustí to na svět z hrozbou BIOS rootkit usazující se v základní desce. Takže za hrozbu BIOS rootkit usazující se v základní desce je na místě činu dopadena firma Freedom Scientific a firma Galop. Firma Freedom Scientific by si zasloužila doživotní protože se dopustila trestného činu. Vypouštět na svět program který ve vteřině udělá hrozbu BIOS rootkit usazující se v základní desce je přestupek a měli by se proti ním udělat patřičné kroky za největší přestupek ze všech. Takže jediný co zachrání aby se to už nikdy neopakovalo doufat že se to provalí, budou stíhány, zatknou je a dostanou doživotí a už nikdy se na boží světlo nedostanou. Prosím udělejte vše pro to aby se to provalilo a dali firmě freedom scientific doživotí. Tohle co jsem napsala je bohovská pravda.
-
Nešťastnice (neregistrovaný)
Taky by zasloužila pár facek firma Freedom Scientific která programuje program Jaws a Firma Galop s. r. o. kde je šéfem Michal Jungmann to tahá sem do České republiky. Program Jaws totiž dokáže napadnout bios tak, že reakce se projeví až po nové čisté instalaci když před novou čistou instalací byl Jaws nainstalován. Projevuje se to takto: Po probuzení z úsporného režimu což je lehký spánek po probuzení vypíše nejsou nainstalované řadiče zvuku když to uspím a probudím po druhý, sekne se to a když po třetí, neprobudí se to. Reakce na program Jaws se klidně může projevit, že by to mohlo začít hořet.
Zkrátka program Jaws rozesírá a zavirovává bios a když by zkrachovala firma Freedom Scientific která sídlí v USA a firma Galop s. r. o. bylo by stop virům v biosu. To co jsem tu napsala je bohovská pravda mám to odskoučené -
RayeR (neregistrovaný)
Hm, tak to je docela hardcore, zadny bezzuby mailovy cervik...
By me zajimaly detaily, protoze se leta upravama BIOSu amatersky zabejvam a vim ze bez vhodnejch nastroju je clovek jak bezrukej a i tak je nekdy problem modnout image tak aby to este vubec nabootovalo. Pro pristup k mazani FlashROM pod windows je potreba pristup k HW (chipsetu), takze by to nemelo jit bez kernel mode driveru. Ten se da nainstalovat automaticky pod administratorem ale ne pod userem. I kdyz na wokna je rada exploitu jak se dostat na ring0. Pokud se tam uz dostanu, tak ale zdaleka neni vyhrano. Pamatuju si jak vir Win32/CIH (btw programatorsky docela hodne kvalitni dilo) nekdy uz pred 10 lety umel mazat BIOSy, ale zdaleka to nefungovalo na vsech BIOSech, na mojem zrovna ne. Kazda deska ma jinej chipset a i kdyz je stejnej tak BIOS se jinej. Ten vir by musel nak inteligentne analyzovat kod BIOSu kam se hooknout. Napada me ze jediny pouzitelny misto je bootblock, kerej je u vsech awadru (aspon nakej rozsah verzi) stejnej. V dobe vykonavani bootblocku ale neni inicializovanej temer zadnej HW, dokonce ani RAMka. Takze to by si to muselo udelat hook na naky preruseni, kery se spusti pozdeji. Docela frajerina by byla modifikace SMI handleru, ze by ted vir pak mohl bezet neviditelne na pozadi i pri cinnosti OS a treba odchytavat hesla a posilat je nekam...
No nic, pudu si precist ty dalsi clanky.
Jinak sem proti SW reseni pres naky dig. podpisy, tim bychom definitivne prisli o moznost BIOS modifikovat i pro dobry ucely. Ten jumper je vec za cent a 100% spolehliva :) Este pamatuju, ze na Pentium 1 deskach pomerne bezna. Kdo ma bobky, muze si i dnes odpajet pin WP# a spojit ho se zemi :) -
mmad (neregistrovaný)
Na rovinu - autorům pořádných virů je toto u rekta, ti už se probourat tímto mechanizmem dávno umí. A vir této úrovně musí být pořádný (a vyplatit se). To, že dneska viry jako CIH nebo One_Half nepotkáte, je čistě o penězích a o tom že o nich nemá být nic známo, neboť by to ohrozilo příjem jejich tvůrců. Najít s těmito znalostmi egoistu, který je kvůli předvedení podobné akce bude riskovat odhalení svých hlubokých znalostí ASM, aby putoval někam do lochu, to je těžká naivita.
-
NTPT (neregistrovaný)
AFAIK, SMM (SMI handler) může být napaden přinejmenším na intel platformě, dokonce tak ,že lze obejít i TXT instrukci (!) http://invisiblethingslab.com/resources/bh09dc/Attacking%20Intel%20TXT%20-%20paper.pdf. takže ano teoreticky to může fachat , možná i prakticky
-
To by nemusel být takový problém, máme tu virtualizaci... Jen nevím, jestli by se to v plné podobě vlezlo do té paměti pro BIOS (eepROM beno jak se to jmenuje), možná ale jo. Pokud ne, pak by šlo odpojit počítač od internetu, odpojit disk, nabootovat odjinud (pokud by to BIOS nezakázal, taky by se mohl bránit) a virus odstranit.
-
SPECZ (neregistrovaný)
Problém s bootováním odjinud je že si zavirujete i to nové zařízení. Tady je asi vhodné místo pro live CD :-)
Ovšem pokud by se bránil flashnutí, už je to jiný level. Starý biosy bývaly v patici, jak je to na nových deskách si nejsem jistej, ale tipnul bych že budou "natvrdo" zaletovaný, obzvlášť v základních deskách pro NTB ... -
I pokud připojím přepisovatelné zařízení a z něj nabootuji (bez připojení k internetu), pak za zmíněné podmínky* (tj. virus není chopen zabránit flashi BIOSu) infekci z původního zařízení odstraním a disk (nebo jiné zařízení, třeba disketu) mohu zformátovat...
BTW, pod "nabootováním odjinud" lze myslet i LiveCD.
*) OK, napsal jsem to trošku nepřesně, formálně by se to dalo pochopit, že nevlezla-li by se ta virtualizace do paměti, pak je to vždy bezpečné. To není, pokud by útočník použil jinou metodu.
-
RayeR (neregistrovaný)
Tak doporucuji precist ten anglicky clanek, tam je to vsechno vysvetlene. Zistil sem, to je jen obycejna prasacka slepenina kodu, kera vyuziva 5 let stary rootkit a oficialni utilitu CBROM na modifikaci BIOSu, takze zadny programatorsky hardcore triky se nekonaji. Tohle mohl slepit kdejaky cinsky studentik na koleji za par veceru.
Sou tu jista omezeni - nefunguje to v 64bit Win (mozna prave kuli podpisu driveru) a samotny vir si kontroluje kery PC napada - jen ty s nainstalovanym cinskym antivirem, takze zbytek sveta muze byt zatim v klidu (nez to nekdo upravi :). Je tam popisovany zajimavy trik jak to na zazatku loadne KMD. Zastavi sluzbu beep, prepise KMD beep.sys svym vlastnim a znovu spusti. Tohle ale u novejsich win vista/7 pod userem neprojde, ty pomalu ani administratorovi nedovoli sahnout na zadny systemovy soubor.
Nasledne vir vyuzije SMI API pro cteni/zapis BIOSu, udela dump, modifikuje ho standardni utilitou CBROM, tak ze tam standardnim zpusobem nahraje ISA ROM modul (na novejsich BIOSech uz neni podporovan, takze se nespusti), tento modul se spousti pri bootu po POSTu a napada MBR. Kod v MBR hookne ovladac disku pres kery si vir zajisti skryti souboru nakazy a napadne winlogon, takze ma zajisteno spousteni pri startu. Tam se spousti dalsi cast, kera stahuje naky modul z netu, ale ta adresa uz nefunguje.Zajimavy je na tom to, ze by tenle vir sel zacilit presne na urcity typy PC napr v nejaky firme a vyuzit v nekalem konkurencnim boji. Myslim ze vzhledem k rade omezeni se to nestane globalni hrozbou.
-
RayeR (neregistrovaný)
Zatim sem nasel nasel dropper:
http://bbs.kafan.cn/forum.php?mod=attachment&aid=MTM1ODY2NHwyOTY1MjYwOXwxMzE1MTA3MjAwfDQ5MDExNnwxMDcxODUy
heslo: virus
Zkusim pustit ve VM jesi se to aspon rozbali... -
Ondřej CaletkaZlatý podporovatelOdkaz na bezpečnostní střípky je nefunkční (je třeba odstranit ?nahled=1).
ČLÁNKY DO MAILU