Mebromi: BIOS rootkit usazující se v základní desce

Vyrobci, kteri delaji BIOS tak, aby timto mohl byt napaden, by zaslouzili par facek.

Asi budu povazovan za hlupaka a nevzdelance, ale jak ma BIOS rozlisit tento skodlivy kod od legalniho upgradu?. Nemam na mysli nejaky jumper na zakladni desce, ktery flashku prepne do RO rezimu - to neni vec BIOSu, ale hw prostredek zakladni desky. Takze opakuji otazku: Jak muze BIOS rozlisit legalni a nelegalni upgrade? Diky za vysvetleni.

Jedna moznost je umoznit jenom upgrade z dat podepsanych nejakym klicem, ale aby to neslo obejit (treba podstrcit validni update pro verifikaci klicem a pak podstrcit upravene data ve chvili kdyz se to zacne "palit" do *ROM), tak by to vyzadovalo nejspis dedikovany chip na desce s private key natvrdo nadratovanym uvnitr ktery by jediny mel pristup k zapisu a neslo by ho obejit. A i tak existuje riziko ze unikne ven private key a tvurce malware si pak podepise update sam.

Takze celkove bych napsal jen to, co jsem psal presne v ten den kdy se objevila prvni zprava o "flash BIOSu" ktery jde upgradovat. Pokud to nema jumper na zablokovani zapisu, tak je to hodne nebezpecne. Co se ukazuje vzhledem ke stari meho prohlaseni a mnozstvi malware ktery toho zneuziva jako prilis pesimisticky odhad, tvurci malware sli velmi dlouho cestou mensiho odporu a na BIOS se zacali osklive divat az v dobe kdy uz prolomit bezny OS/AV neni tak snadne, resp. kdy financni zisky z napadenych stroju stoupaji tak, ze se vyplati nimrat i v BIOSu.

Ale doba uz myslim dozrala a blokovani skrz jumper je dnes asi nutnost, pokud chcete systemu alespon trochu duverovat. (nebo kvalitni rootkit vyhledavac, ktery dokaze heuristicky odhalit i beh pod neznamym hypervizorskym rootkitem z BIOSu, resp. cokoli nestandardniho na behu OS).

Radsi naopak - na desce bude public key a rom bude podepsana private klicem.

Dekuji za objasneni.

Ano, a rovnou by tam mohli dat podporu DRM, aby sme si kazde vanoce museli koupit a nainstalovat novy BIOS :-)

Hehehe micro$oft bios :D

Eventuelne davat BIOS do ROM, ktera by byla pripajena k desce. Upgrade by se pak provadel objednanim nove desky u vyrobce. Tento system by potesil zejmena majitele notebooku. Kdo nekdy rozebiral notebook, vi, o cem mluvim.

takato metoda ze BIOS bol v ROMke, to bolo u starsich pocitacov (od 286 do pentiii), ale potom sa z toho upostilo, alebo ROM BIOS sa nedal aktualizovat, tak nahradili ROM BIOS FlashBIOSom a tym umoznili jednoduchy upgrade BIOSu, ale pri napadnuti takehoto BIOSu rootkitom musi autor toho rootkitu poznat vsetky specifikacie BIOSov dosiek, v inom pripade by dosku mohol uplne znefunkcnit

Tohle neni o upgrade. Pokud jsem to spravne pochopil, ten sajrajt se do BIOSu namontuje z beziciho OS. Cili ten jumper, ktery se vam tak hnusi, by byl naprosto idealni. Bohuzel, jumper se jiz delsi dobu hnusi i spouste vyrobcu. A pritom by mohl byt i na notebooku, treba pod baterkou nebo vedle pametoveho slotu. Tak casto clovek BIOS neupgraduje, aby si kvuli tomu dal nohu za krk. Furt lepsi, nez mit permanentne nemocny pocitac nebo dokonce cihlu. Jenze vyrobci udelali z upgradu BIOSu hracku s Windows aplikaci s interfacem, jak z nejake dementni hry z Marsu, aby to zvladl i BFU, ktery ani nevi, co dela a co se pri tom muze posrat.

podobne biosy se vali na tuningovych strankach, kde tunici pro 5 bodu v sysmarku udelaji cokoliv

Pozor, tady doslo k nedorozumeni, mi se ten jumper VUBEC nehnusi, prave naopak. Zvlast ve svetle tohohle sajrajtu.

Ja bych rekl ze drtiva vetsina lidi kteri dnes pracuji v IT by zaslouzili par facek, velmi pravdepodobne vcetne vas a mne. Ale ekonomika je kruta, neni cas (penize) delat veci poradne, nedodelky jsou efektivnejsi.

Mozna si tech par facek zaslouzim. Ale chci znat duvod.

Nejprve pár facek, a pak (možná) ten důvod :)))

Naprosty souhlas. Bohuzel dneska muze "technika" delat skoro kdokoliv a podle toho to taky mnohde vypada. A naprosto nejvetsi tragedie potom je, kdyz ho hodnoti management, ktery o IT nema ani poneti a tak "ajtik" preci odvadi excelentni praci a drzi vsechny nase systemy, na kterych jsme zavisli, nad vodou :-(

proti napadeni windowsu po reinstalaci...

...je vubec windows neinstalovat :-D

ale pred vynalezcem toho viru smekam, podle popisu je to dost dobre promysleny kousek..

Hm, tak to je docela hardcore, zadny bezzuby mailovy cervik...
By me zajimaly detaily, protoze se leta upravama BIOSu amatersky zabejvam a vim ze bez vhodnejch nastroju je clovek jak bezrukej a i tak je nekdy problem modnout image tak aby to este vubec nabootovalo. Pro pristup k mazani FlashROM pod windows je potreba pristup k HW (chipsetu), takze by to nemelo jit bez kernel mode driveru. Ten se da nainstalovat automaticky pod administratorem ale ne pod userem. I kdyz na wokna je rada exploitu jak se dostat na ring0. Pokud se tam uz dostanu, tak ale zdaleka neni vyhrano. Pamatuju si jak vir Win32/CIH (btw programatorsky docela hodne kvalitni dilo) nekdy uz pred 10 lety umel mazat BIOSy, ale zdaleka to nefungovalo na vsech BIOSech, na mojem zrovna ne. Kazda deska ma jinej chipset a i kdyz je stejnej tak BIOS se jinej. Ten vir by musel nak inteligentne analyzovat kod BIOSu kam se hooknout. Napada me ze jediny pouzitelny misto je bootblock, kerej je u vsech awadru (aspon nakej rozsah verzi) stejnej. V dobe vykonavani bootblocku ale neni inicializovanej temer zadnej HW, dokonce ani RAMka. Takze to by si to muselo udelat hook na naky preruseni, kery se spusti pozdeji. Docela frajerina by byla modifikace SMI handleru, ze by ted vir pak mohl bezet neviditelne na pozadi i pri cinnosti OS a treba odchytavat hesla a posilat je nekam...
No nic, pudu si precist ty dalsi clanky.
Jinak sem proti SW reseni pres naky dig. podpisy, tim bychom definitivne prisli o moznost BIOS modifikovat i pro dobry ucely. Ten jumper je vec za cent a 100% spolehliva :) Este pamatuju, ze na Pentium 1 deskach pomerne bezna. Kdo ma bobky, muze si i dnes odpajet pin WP# a spojit ho se zemi :)

Spousta lidi pouziva Widle pod adminem, takze neni nutne se probouravat do ring0. Treba to autorum malware tak staci. Zaplatpanbuh tu mame MS s jeho pohodlnymi bezpecnostnimi defaultnimi nastavenimi. Jinak by s tim meli zlocinci vice prace.

Defaultní nastavení je buď non-admin account, nebo UAC. V 64-bitových verzích Windows musejí být kernelové drivery podepsané; ve 32-bitových je to default, který může admin vypnout. To jen abyste nešířil FUD :)

Tak to asi nemluvite o W XP. A vite, kolik jich jeste beha? Vy si asi myslite, ze kdyz LO ma W 7, maji vsichni W 7.

@Redakce: Krucipisek, dneska se pro zmenu neda prihlasit vubec.

Ve Windows XP se při instalaci zřizují non-admin účty. Instalace nepodepsaného driveru ve výchozím nastavení vyhazuje dialog s potvrzením; nepodepsané drivery lze úplně zakázat, nebo potvrzování instalace naopak vypnout.

Chcete rici, ze se pri instalaci zrizuji ucty. A pokud chcete, aby nebyl admin, musite to vyslovne zaskrtnout.

No jo, to máte asi pravdu. Už jsem nějakou dobu WinXP neinstaloval.

Nicméně restricted account stejně ničemu nepomůže. Dnes malware typicky odesílá smap, vykrádá data, vyměňuje inzeráty na stránkách apod. To všechno lze dělat v kontextu restricted accountu.

Na rovinu - autorům pořádných virů je toto u rekta, ti už se probourat tímto mechanizmem dávno umí. A vir této úrovně musí být pořádný (a vyplatit se). To, že dneska viry jako CIH nebo One_Half nepotkáte, je čistě o penězích a o tom že o nich nemá být nic známo, neboť by to ohrozilo příjem jejich tvůrců. Najít s těmito znalostmi egoistu, který je kvůli předvedení podobné akce bude riskovat odhalení svých hlubokých znalostí ASM, aby putoval někam do lochu, to je těžká naivita.

AFAIK, SMM (SMI handler) může být napaden přinejmenším na intel platformě, dokonce tak ,že lze obejít i TXT instrukci (!) http://invisiblethingslab.com/resources/bh09dc/Attacking%20Intel%20TXT%20-%20paper.pdf. takže ano teoreticky to může fachat , možná i prakticky

Vypadá to že infekce bude poměrně komplikovaně odstranitelná, ale vzhledem k tomu že si musí nějakou část kódu stáhnout ze sítě, mělo by jít odstranit infekci off-line.

Tak jediny reseni je preflashnout BIOS cistou verzi, jinak ti po pripojeni k netu bude zas stahovat dal. Este by byla prdel, kdyby ten kod preflashovani umel zabranit, takze by se musel odpajet cip z desky...

To by nemusel být takový problém, máme tu virtualizaci... Jen nevím, jestli by se to v plné podobě vlezlo do té paměti pro BIOS (eepROM beno jak se to jmenuje), možná ale jo. Pokud ne, pak by šlo odpojit počítač od internetu, odpojit disk, nabootovat odjinud (pokud by to BIOS nezakázal, taky by se mohl bránit) a virus odstranit.

Problém s bootováním odjinud je že si zavirujete i to nové zařízení. Tady je asi vhodné místo pro live CD :-)
Ovšem pokud by se bránil flashnutí, už je to jiný level. Starý biosy bývaly v patici, jak je to na nových deskách si nejsem jistej, ale tipnul bych že budou "natvrdo" zaletovaný, obzvlášť v základních deskách pro NTB ...

I pokud připojím přepisovatelné zařízení a z něj nabootuji (bez připojení k internetu), pak za zmíněné podmínky* (tj. virus není chopen zabránit flashi BIOSu) infekci z původního zařízení odstraním a disk (nebo jiné zařízení, třeba disketu) mohu zformátovat...

BTW, pod "nabootováním odjinud" lze myslet i LiveCD.

*) OK, napsal jsem to trošku nepřesně, formálně by se to dalo pochopit, že nevlezla-li by se ta virtualizace do paměti, pak je to vždy bezpečné. To není, pokud by útočník použil jinou metodu.

Idealne na naklady vyrobce. Treba by si toho ostatni vsimli.

Tak doporucuji precist ten anglicky clanek, tam je to vsechno vysvetlene. Zistil sem, to je jen obycejna prasacka slepenina kodu, kera vyuziva 5 let stary rootkit a oficialni utilitu CBROM na modifikaci BIOSu, takze zadny programatorsky hardcore triky se nekonaji. Tohle mohl slepit kdejaky cinsky studentik na koleji za par veceru.
Sou tu jista omezeni - nefunguje to v 64bit Win (mozna prave kuli podpisu driveru) a samotny vir si kontroluje kery PC napada - jen ty s nainstalovanym cinskym antivirem, takze zbytek sveta muze byt zatim v klidu (nez to nekdo upravi :). Je tam popisovany zajimavy trik jak to na zazatku loadne KMD. Zastavi sluzbu beep, prepise KMD beep.sys svym vlastnim a znovu spusti. Tohle ale u novejsich win vista/7 pod userem neprojde, ty pomalu ani administratorovi nedovoli sahnout na zadny systemovy soubor.
Nasledne vir vyuzije SMI API pro cteni/zapis BIOSu, udela dump, modifikuje ho standardni utilitou CBROM, tak ze tam standardnim zpusobem nahraje ISA ROM modul (na novejsich BIOSech uz neni podporovan, takze se nespusti), tento modul se spousti pri bootu po POSTu a napada MBR. Kod v MBR hookne ovladac disku pres kery si vir zajisti skryti souboru nakazy a napadne winlogon, takze ma zajisteno spousteni pri startu. Tam se spousti dalsi cast, kera stahuje naky modul z netu, ale ta adresa uz nefunguje.

Zajimavy je na tom to, ze by tenle vir sel zacilit presne na urcity typy PC napr v nejaky firme a vyuzit v nekalem konkurencnim boji. Myslim ze vzhledem k rade omezeni se to nestane globalni hrozbou.

BTW zajimal by me pro studijni ucely ten ROM modul, zkusim pohledat jesi sou nekde ke stazeni ty vyextrahovany soubory...

Zatim sem nasel nasel dropper:
http://bbs.kafan.cn/forum.php?mod=attachment&aid=MTM1ODY2NHwyOTY1MjYwOXwxMzE1MTA3MjAwfDQ5MDExNnwxMDcxODUy
heslo: virus
Zkusim pustit ve VM jesi se to aspon rozbali...

Odkaz na bezpečnostní střípky je nefunkční (je třeba odstranit ?nahled=1).

Všechno, co tady píšete je super, ale jak zjistím, že mám napadený BIOS?

to bych taky rad vedel

Co treba udelat dump BIOSu a podivat se cbromem jestli obsahuje modul hook.rom? Ale tezko neco najdete nebo snad pouzivate cinsky antivir? :)