Onderzoekers ontdekken nieuwe BIOS-rootkit
Onderzoekers hebben een nieuwe rootkit ontdekt die de BIOS van computers infecteert om zo een herstart van het systeem te overleven. De BIOS (Basic Input Output System) is een bibliotheek met een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware, en is essentieel voor de werking van de computer.
De Mebromi Trojan die vorig jaar september werd ontdekt, flashte de BIOS en infecteerde de Master Boot Record (MBR) van de harde schijf. De BIOS-aanpassing controleert of de malware nog steeds in de MBR van de harde schijf actief is. Is dit niet het geval, dan wordt de MBR opnieuw geïnfecteerd. Het opnieuw formatteren van de harde schijf of zelfs het vervangen ervan, kan het virus niet volledig verwijderen.
Award
De nu ontdekte 'Bioskit' heeft het ook op de BIOS van chipfabrikant Award voorzien. Zodra de malware de Windows-computer infecteert, wordt de BIOS geflasht. Hierbij wordt eerst gecontroleerd of het wel om een Award BIOS gaat. Het gebruikte bestand voor het flashen komt overeen met die van de eerste Bioskit van vorig jaar, waardoor het vermoeden bestaat dat de twee malware-exemplaren van dezelfde ontwikkelaars afkomstig zijn.
"Het kan geen toeval zijn dat bijna alle strings identiek zijn, inclusief de taalfouten en slechte grammatica. Dit suggereert dat hetzelfde individu of groep achter deze BIOS-flashende malware zit", zegt McAfee's Arvind Gowda. Hij verwacht dat er meer Bioskits zullen volgen. "Het is niet lastig om malware in de MBR te detecteren en te verwijderen, maar het schoonmaken van een BIOS-infectie zal voor beveiligingsbedrijven een uitdaging zijn."
Reacties (18)
12-06-2012, 11:19 door
Bitwiper
Door Redactie: Onderzoekers hebben een nieuwe rootkit ontdekt die de BIOS van computers infecteert om zo een herstart van het systeem te overleven.
Gewoon geen adminrechten gebruiken voor normaal werk. En voor admin werk UAC gebruiken als extra stap.En (@Microsoft, andere software ontwikkelaars -van met name drivers- en @Security reserachers): privilege escalation attacks als veel gevaarlijker beschouwen dan nu gangbaar is en deze zoveel mogelijk voorkomen en waar nodig ASAP patchen.
12-06-2012, 11:24 door
john west
Volgens Wikipedia
Het BIOS is in principe gevoelig voor virussen. Op sommige moederborden is een versleuteling aanwezig, waardoor het BIOS niet gewijzigd kan worden zonder een wachtwoord in te geven. In 2009 waren er nog geen grote virus-aanvallen van het BIOS bekend.
Welke moederborden ?
En voorkom je dit met een BIOS - wachtwoord ?
Het BIOS is in principe gevoelig voor virussen. Op sommige moederborden is een versleuteling aanwezig, waardoor het BIOS niet gewijzigd kan worden zonder een wachtwoord in te geven. In 2009 waren er nog geen grote virus-aanvallen van het BIOS bekend.
Welke moederborden ?
En voorkom je dit met een BIOS - wachtwoord ?
12-06-2012, 12:51 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem: Ik begin me de laatste tijd echt zorgen te maken.
Dit is niet iets van "de laatste tijd" hoor. Dit soort dingen spelen al veel langer. Je hoort het alleen nu veel vaker in de wat meer "algemene" media, ipv alleen op specifieke security sites.Door Anoniem: Ik begin me de laatste tijd echt zorgen te maken.
Dat krijg je als je deze website regelmatig bezoekt. :)
12-06-2012, 14:13 door
Skizmo
Het flashen van je bios moet je toch op je moederbord met een switch of een shunt enablen ?
12-06-2012, 14:35 door
SirDice
Door Skizmo: Het flashen van je bios moet je toch op je moederbord met een switch of een shunt enablen ?
Nope, helaas niet. Al kan ik me wel voorstellen dat dat zou werken, een read/write enable switch. Normaal staat'ie op read-only en alleen wanneer je de BIOS wil flashen zet je 'm (tijdelijk) op read/write.Mensen zullen dat wel weer als "lastig" ervaren, de kast moet tenslotte open. Maar goed, hoe vaak doe je zo'n BIOS update nou eigenlijk?
12-06-2012, 14:38 door
Spiff has left the building
Door Skizmo: Het flashen van je bios moet je toch op je moederbord met een switch of een shunt enablen?
Met welk bord en welk BIOS?Ik weet niet met welke borden zo'n actie nodig is.
Met sommige borden is het véél simpeler.
Met mijn huidige bord: Zet de bewaarde of gedownloade BIOS-file op USB-flash, start het systeem opnieuw op met die USB-stick ingeplugd, toets de juiste toetscombinatie tijdens POST, en de BIOS flash utility start, waarna de BIOS-file gekozen kan worden en de flash wordt uitgevoerd.
Mits de BIOS-malware niet zo slim is die beschreven mogelijkheid te blokkeren...
12-06-2012, 15:57 door
Bitwiper
Door Spiff: Mits de BIOS-malware niet zo slim is die beschreven mogelijkheid te blokkeren...
Idd, want raad eens waar de routines zich bevinden die je nodig hebt om het flash geheugen (EEPROM) te overschrijven. Sterker, zodra je de PC aanzet draait er al code uit die chip. Als je die code niet kunt vertrouwen is het jouw PC niet meer.In tegenstelling tot een harddisk die je aan een andere PC kunt hangen, kun je zo'n gesoldeerde flashchip (mogelijk zit dat geheugen in een zwart pizza-doosje-met-zeer-veel-pootjes geïntegreerd) niet even van je mobo afhalen en in een programmer grondig opfrissen...
In het geval van oudere BIOSen (waar het hier zo goed als zeker over gaat) heb je niets aan BIOS wachtwoorden. Zodra de PC van 16bit mode in 32 of 64 bit mode is overgeschakeld, wordt de BIOS niet meer gebruikt (die bestaat eigenlijk alleen nog maar om hardware te configureren voordat diezelfde BIOS op zoek gaat naar bootable schijven en bijbehorende (master-) bootsectors en daarna de zaak it handen geeft). Zodra je moderne OS draait, de gebruiker voldoende privileges heeft en het om een echte PC gaat (en niet een virtuele), kan die gebruiker (en de malware die zij eventueel start) de BIOS overschrijven.
Vandaar mijn 1e bijdrage, voorkomen is echt het devies hier.
Alternatief: moederbordfabrikanten ervan overtuigen dat ze weer een jumper socket op het moederbord solderen. Zodat je, om te kunnen flashen, eerst een jumper moet plaatsen. Maar ja, dat is weer niet helpdesk-vriendelijk.
12-06-2012, 17:25 door
Spiff has left the building
Door Bitwiper:
raad eens waar de routines zich bevinden die je nodig hebt om het flash geheugen (EEPROM) te overschrijven. Sterker, zodra je de PC aanzet draait er al code uit die chip. Als je die code niet kunt vertrouwen is het jouw PC niet meer.
Dank je, Bitwiper, je hebt gelijk.raad eens waar de routines zich bevinden die je nodig hebt om het flash geheugen (EEPROM) te overschrijven. Sterker, zodra je de PC aanzet draait er al code uit die chip. Als je die code niet kunt vertrouwen is het jouw PC niet meer.
Brrr, griezelig.
Met nog enig geluk is de betreffende chip niet gesoldeerd maar los te halen, zodat de chip te vervangen is (door een identieke chip met het juiste BIOS erop uiteraard), maar veelal zal de chip wél gesoldeerd zijn, wat een complex probleem nóg moeilijker maakt. Ik weet niet hoe dat zit met de borden met een Award BIOS-chip.
Een jumper moeten (ver)plaatsen om te kunnen flashen lijkt me toch beslist een heel stuk gebruikers-vriendelijker dan de mogelijkheid geconfronteerd te kunnen worden met een verziekt en niet-reparabel BIOS. Maar misschien is dat wel helpdesk-vriendelijker, het niet hoeven uitleggen hoe een jumper gezet moet worden, maar volstaan te adviseren een nieuw bord te kopen?
Door Bitwiper:
Vandaar mijn 1e bijdrage, voorkomen is echt het devies hier.
Beslist.Vandaar mijn 1e bijdrage, voorkomen is echt het devies hier.
12-06-2012, 17:34 door
Spiff has left the building
Door Peter V, 12:51 uur:
Het beste is nog altijd om een schone kopie van het BIOS (kan ook een update zijn) te bewaren.
Bij een besmetting het nieuwe BIOS installeren.
De Rootkit moet dan ook verdwenen zijn.
Zeker verstandig om altijd een schone BIOS-file achter de hand te houden.Het beste is nog altijd om een schone kopie van het BIOS (kan ook een update zijn) te bewaren.
Bij een besmetting het nieuwe BIOS installeren.
De Rootkit moet dan ook verdwenen zijn.
Maar gezien wat Bitwiper om 15:57 uur aangaf, heb je met een schone BIOS-file achter de hand nog geen garantie dat je daarmee in geval van een infectie het BIOS zult kunnen herstellen. Bijzonder akelig...
12-06-2012, 22:48 door
Bitwiper
Hmm... http://technet.microsoft.com/en-us/security/bulletin/ms12-042
Aanvulling 20120613 08:27, het 2e comment in https://isc.sans.edu/diary/Microsoft+June+2012+Black+Tuesday+Update+-+Overview/13453 bevat ook een interessante waarneming:
Microsoft Security Bulletin MS12-042: Microsoft Security Bulletin MS12-042 - Important
Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (2711167)
Published: Tuesday, June 12, 2012, Version: 1.0
[...]
BIOS ROM Corruption Vulnerability - CVE-2012-1515
[...]
FAQ for BIOS ROM Corruption Vulnerability - CVE-2012-1515
What is the scope of the vulnerability?
This is an elevation of privilege vulnerability.
What causes the vulnerability?
The vulnerability is caused when Windows does not correctly protect BIOS ROM.
[...]
Bron: 1e comment in https://isc.sans.edu/diary/Microsoft+June+2012+Black+Tuesday+Update+-+Overview/13453Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (2711167)
Published: Tuesday, June 12, 2012, Version: 1.0
[...]
BIOS ROM Corruption Vulnerability - CVE-2012-1515
[...]
FAQ for BIOS ROM Corruption Vulnerability - CVE-2012-1515
What is the scope of the vulnerability?
This is an elevation of privilege vulnerability.
What causes the vulnerability?
The vulnerability is caused when Windows does not correctly protect BIOS ROM.
[...]
Aanvulling 20120613 08:27, het 2e comment in https://isc.sans.edu/diary/Microsoft+June+2012+Black+Tuesday+Update+-+Overview/13453 bevat ook een interessante waarneming:
Door e.b., Tue Jun 12 2012, 22:00: Interestingly enough, CVE-2012-1515 maps to a VMware vulnerability, more on that here: http://www.vmware.com/security/advisories/VMSA-2012-0006.html According to the advisory, a ROM overwrite can result in privilege escalation on Windows based virtual machines. I guess both VMware and Microsoft are covering all bases here.
Uit http://www.vmware.com/security/advisories/VMSA-2012-0006.html:Door VMware: a. VMware ROM Overwrite Privilege Escalation
A flaw in the way port-based I/O is handled allows for modifying Read-Only Memory that belongs to the Virtual DOS Machine. Exploitation of this issue may lead to privilege escalation on Guest Operating Systems that run Windows 2000, Windows XP 32-bit, Windows Server 2003 32-bit or Windows Server 2003 R2 32-bit.
Eerder schreef ik: A flaw in the way port-based I/O is handled allows for modifying Read-Only Memory that belongs to the Virtual DOS Machine. Exploitation of this issue may lead to privilege escalation on Guest Operating Systems that run Windows 2000, Windows XP 32-bit, Windows Server 2003 32-bit or Windows Server 2003 R2 32-bit.
Door Bitwiper op 20120612 15:57: Zodra je moderne OS draait, de gebruiker voldoende privileges heeft en het om een echte PC gaat (en niet een virtuele), kan die gebruiker (en de malware die zij eventueel start) de BIOS overschrijven.
Er had toen eigenlijk wel een belletje mogen gaan rinkelen bij me...Waar is de tijd gebleven dat een BIOS update bestond uit het openen van de systeemkast, voorzichtig met een schroevedraaier de BIOS-ROM uit het moederbord wippen, de pootjes van de nieuwe BIOS bijbuigen en de nieuwe chip in de 40 (oid) pins DIL socket terugplaatsen. Toen was er geen mogelijkheid tot flashen ;-) en starte DOS (!) meestal gewoon op .....
05-08-2012, 12:28 door
GNOE Inc.
Hmmm, het kan aan mij liggen, het is toch een Windows virus?
Je kunt een schone firmware/flash gewoon terug zetten door de harde schijf en netwerk los te koppelen en gebruikt te maken van een ander OS (Linux LiveCD of good old DOS), waarmee je de boel terugzet. Daaarna harde schijf aan koppelen en compleet wissen of vol zetten met random bitjes.
Klaar is kees, alles weer zoals het was.
Toch?
Je kunt een schone firmware/flash gewoon terug zetten door de harde schijf en netwerk los te koppelen en gebruikt te maken van een ander OS (Linux LiveCD of good old DOS), waarmee je de boel terugzet. Daaarna harde schijf aan koppelen en compleet wissen of vol zetten met random bitjes.
Klaar is kees, alles weer zoals het was.
Toch?
05-08-2012, 13:00 door
Spiff has left the building
@ GNOE Inc. 12:28,
Het schoonmaken van de harde schijven hoeft inderdaad het probleem niet te zijn.
Maar het betreft niet slechts Windows dat wordt geïnfecteerd, maar ook het BIOS.
En het flashen van het BIOS geeft jammer genoeg geen zekerheid dat je dat daarmee weer schoon krijgt.
Want zie wat Bitwiper aangaf:
Zoals Bitwiper aangaf: voorkómen is het devies!
Het schoonmaken van de harde schijven hoeft inderdaad het probleem niet te zijn.
Maar het betreft niet slechts Windows dat wordt geïnfecteerd, maar ook het BIOS.
En het flashen van het BIOS geeft jammer genoeg geen zekerheid dat je dat daarmee weer schoon krijgt.
Want zie wat Bitwiper aangaf:
Door Bitwiper, 12-06-2012,15:57 uur:
raad eens waar de routines zich bevinden die je nodig hebt om het flash geheugen (EEPROM) te overschrijven. Sterker, zodra je de PC aanzet draait er al code uit die chip. Als je die code niet kunt vertrouwen is het jouw PC niet meer.
Ook met het ontkoppelen van schijven en netwerk en het vervolgens flashen met een schone BIOS-file heb je geen garantie dat je daarmee het BIOS herstelt naar een schone staat.raad eens waar de routines zich bevinden die je nodig hebt om het flash geheugen (EEPROM) te overschrijven. Sterker, zodra je de PC aanzet draait er al code uit die chip. Als je die code niet kunt vertrouwen is het jouw PC niet meer.
Zoals Bitwiper aangaf: voorkómen is het devies!
Je kunt een schone firmware/flash gewoon terug zetten door de harde schijf en netwerk los te koppelen en gebruikt te maken van een ander OS (Linux LiveCD of good old DOS),
Ja en hoe doe je dat? ik heb bijvoobeeld alleen biosflash voor xp en win7 hoe laat je die draaien buiten OS? Kopieren naar usb kan niet want dan is je usb meteen besmet exe hernoemen naar doc kan ook niet want hij is meteen besmet bij download. Je download een zip die kan je alleen uitpakken in de OS of je moet werken van een niet besmete computer en niet besmette usb. of alles op CD zetten? Wie weet goede oplossing?
Ja en hoe doe je dat? ik heb bijvoobeeld alleen biosflash voor xp en win7 hoe laat je die draaien buiten OS? Kopieren naar usb kan niet want dan is je usb meteen besmet exe hernoemen naar doc kan ook niet want hij is meteen besmet bij download. Je download een zip die kan je alleen uitpakken in de OS of je moet werken van een niet besmete computer en niet besmette usb. of alles op CD zetten? Wie weet goede oplossing?
09-08-2012, 14:31 door
Spiff has left the building
@ Anoniem 12:34,
Je zou de schone BIOS-file extern schoon opgeslagen moeten hebben, of alsnog moeten downloaden via een schoon systeem.
Afhankelijk van de Flash-mogelijkheid van het betreffende BIOS (zie de handleiding van het moederbord) moet je de schone BIOS-file (gebruikmakend van een schoon systeem) op usb-stick zetten voor toepassing van een BIOS flash utility met toegang via POST, of mogelijk zelfs op floppy voor toepassing van een BIOS flash via DOS omgeving. (Nogmaals, zie de handleiding van het moederbord voor de mogelijkheden.)
Maar zelfs dan geldt wat hierboven al is aangegeven op zo.5-8, 13:00 uur:
Er bestaat bij een geïnfecteerd BIOS geen garantie dat je het BIOS kunt herstellen naar een schone staat.
Want zoals Bitwiper aangaf:
Je zou de schone BIOS-file extern schoon opgeslagen moeten hebben, of alsnog moeten downloaden via een schoon systeem.
Afhankelijk van de Flash-mogelijkheid van het betreffende BIOS (zie de handleiding van het moederbord) moet je de schone BIOS-file (gebruikmakend van een schoon systeem) op usb-stick zetten voor toepassing van een BIOS flash utility met toegang via POST, of mogelijk zelfs op floppy voor toepassing van een BIOS flash via DOS omgeving. (Nogmaals, zie de handleiding van het moederbord voor de mogelijkheden.)
Maar zelfs dan geldt wat hierboven al is aangegeven op zo.5-8, 13:00 uur:
Er bestaat bij een geïnfecteerd BIOS geen garantie dat je het BIOS kunt herstellen naar een schone staat.
Want zoals Bitwiper aangaf:
Door Bitwiper, 12-06-2012,15:57 uur:
raad eens waar de routines zich bevinden die je nodig hebt om het flash geheugen (EEPROM) te overschrijven. Sterker, zodra je de PC aanzet draait er al code uit die chip. Als je die code niet kunt vertrouwen is het jouw PC niet meer.
Nogmaals, zoals Bitwiper aangaf: voorkómen is het devies!raad eens waar de routines zich bevinden die je nodig hebt om het flash geheugen (EEPROM) te overschrijven. Sterker, zodra je de PC aanzet draait er al code uit die chip. Als je die code niet kunt vertrouwen is het jouw PC niet meer.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
