image

BIOS-rootkit overleeft formatteren harde schijf

maandag 23 maart 2009, 16:26 door Redactie, 25 reacties

Twee Argentijnse onderzoekers hebben een manier ontdekt om een rootkit in de BIOS te injecteren, zodat het systeem ook na het formatteren en zelfs vervangen van de harde schijf besmet blijft. Ook het resetten of flashen van de BIOS biedt geen soelaas, aangezien Alfredo Ortega en Anibal Sacco nog steeds in staat zijn om de code weer te laten laden, en zo volledige controle over het systeem te krijgen. De demo die de twee tijdens de CanSecWest conferentie lieten zien, werkte vlekkeloos op een Windows systeem, een computer met OpenBSD en een machine met de VMware Player.

"Het was erg makkelijk. We kunnen de code overal plaatsen waar we willen", zegt Ortega. De Argentijnen gebruiken voor hun aanval geen kwetsbaarheid in de BIOS, maar hebben wel root of fysieke toegang tot de machine nodig. “Ik weet niet of je de impact hiervan beseft, maar we kunnen de BIOS bij elke reboot weer infecteren.” De twee zeggen een driver op zo’n manier te kunnen patchen, dat die een volledige rootkit op het systeem loslaat en zelfs een virusscanner kan uitschakelen of verwijderen. Is een systeem eenmaal besmet, bijvoorbeeld via andere malware waar het op meelift, dan kan de computer voor de rest van zijn leven geïnfecteerd blijven.

De aanval is te voorkomen door de jumpers op het moederbord zo in te stellen dat de chips die de systeeminstructies bevatten niet zijn te overschrijven. Daarnaast zouden hardware oplossingen, zoals het Trusted Computing platform, de integriteit van de BIOS kunnen controleren en in het geval van wijzigingen alarm slaan.

Reacties (25)
23-03-2009, 16:48 door Anoniem
..en kunnen eenvoudige pcgebruikers zelf deze (en welke dan? )jumpers verstellen of zouden de fabrikanten dat moeten doen, bedoelt men? en is er ergens een afbeelding van die jumpers en de juiste handelswijze?
23-03-2009, 16:48 door Napped
*aluminium hoedje opzet*
23-03-2009, 16:56 door Anoniem
Je kunt bij veel nieuwe pc's ook in de bios zelf deze functie uitzetten. Allow Bios Update *NO*
23-03-2009, 16:58 door Anoniem
Dit is nou echt zorgelijk ook al is een fysieke toegang mogelijk. Denk aan cruciale systemen bij overheden. Begrijp is het goed dan staan de jumpers standaard zo ingesteld dat systeeminstructies kunnen worden overschreven ?
23-03-2009, 17:02 door Eerde
*Kuch* zullen we daar nu maar niet aan beginnen het: Trusted Computing platform.
Lees hier waarom niet: http://en.wikipedia.org/wiki/Trusted_Computing_Group

Lijkt mij ook: Allow Bios Update *NO* eventueel icm met jumpertjes, waar zitten die ;)
23-03-2009, 17:09 door Anoniem
Een harde schijf heeft toch ook een firmware? Zo kunnen overal wel virussen in gaan zitten en ben je nooit klaar. TPM zorgt alleen maar dat er meer ruimte in de firmwares is voor malware (PKI software-code). Bovendien kan je om TPM heen met exploits voor de microcode van je processor dus het helpt allemaal geen zier en je bent nog beter af met een computer uit de vorige eeuw (ja, ook daarmee was internetten mogelijk lieve mensen!).
23-03-2009, 19:23 door Anoniem
Dit is wel erg toevallig nieuws.

Ik heb een sterk vermoeden dat ik in het bezit ben van een mobo die het slachtoffer van een dergelijk BIOS aanval is geworden. Het probleem begon ongeveer een maand geleden.

De computer die normaal gesproken Windows op zou moeten starten, weigerde dit en reboote iedere keer zodra het eerste grafische scherm gepresenteerd zou moeten worden. Merkwaardiger werd het toen exact dit zelfde gedrag zich ook voor deed met een Windows installatie CD (die het op andere systemen prima deed), ook als er helemaal geen harde schijf aangesloten was.

Nadat alle hardware componenten behalve het mobo zelf 1 voor 1 vervangen waren (video kaart; geheugen; processor; dvd speler), kon de conclusie getrokken worden dat er of iets mis was met de BIOS, of dat er een hardware defect in het mobo zelf zat. Een hardware defect in het mobo zelf lijkt niet echt logisch, aangezien Linux (inclusief volledige OpenGL ondersteuning) als een zonnetje draait op hetzelfde "defecte" mobo. Het flashen van de BIOS veranderde niets aan de problemen.

Inmiddels een maand verder heb ik nog steeds een computer die of om toevallige redenen zo specifiek beschadigd is dat je er alleen behalve Windows op kunt gebruiken, of iemand met anti-Windows bedoelingen is er in geslaagd on iets vervelends in de BIOS uit te halen met een root-kit. Ik heb dit aan verschillende experts voorgelegd, maar zij verklaarden me 1 voor 1 voor gek want volgens hun van een BIOS virus niet mogelijk. Door dit nieuws begin ik nu toch weer te twijfelen.

Als liefhebber van Linux vind ik het idee van een “hardware” virus dat het onmogelijk maakt om nog langer Windows op een computer te gebruiken ergens wel wat humoristisch. Als ik vervolgens bedenk dat bepaalde despoten in Rusland maar al te graag, vlak na de presentatie van hun nieuwe nationale (op Linux gebaseerde) besturingssysteem, zo veel mogelijk Windows systemen de nek om zouden willen draaien, wordt het al iets minder grappig (als je bedenkt hoeveel schade het zou aanrichten). Vooralsnog hou ik dat maar even als een ongefundeerde irrationele angst, maar ik heb geen illusies over de natte nationalistische dromen van het Kremlin. Anyway, als het probleem met het mobo niet opgelost kan worden, zal ik het aan de muur spijkeren als zijnde mijn eerste mobo dat Windows-moe blijkt te zijn.

Iemand meer van andere gevallen met dezelfde symptomen gehoord?
24-03-2009, 08:02 door Anoniem
Je zou bijna kunnen gaan denken dat die Argentijnse onderzoekers worden gefinancierd door die "Trusted Computing platform"...
24-03-2009, 10:23 door SirDice
Door AnoniemHet flashen van de BIOS veranderde niets aan de problemen.
Waarmee een eventueel BIOS virus naar de eeuwige jachtvelden is gezonden.

Occam's scheermes: Je hebt een hardware probleem.
24-03-2009, 10:46 door Anoniem
Door AnoniemIemand meer van andere gevallen met dezelfde symptomen gehoord?
Ik kan mij herinneren aan een probleem van 5-7 jaar geleden. Op een pc was Windows XP Pro geïnstalleerd. Deze installatie moest worden verwijderd, de HD werd geformatteerd. Na het formatteren kon de pc in de verkoop. Helaas was het niet mogelijk om een nieuwe (legale) Windows XP Home versie te installeren op deze pc. In de pc was geen IDE- maar SCSI-harddisk. Het was wel mogelijk om een extra IDE-harddisk te plaatsen en daarop een Windows installatie uit te voeren. De SCSI-harddisk was niet meer voor een Windows-OS te gebruiken. Het was wel mogelijk om Linux op deze SCSI-harddisk te installeren.
Verder kunnen problemen ontstaan bij voedingen die geen goede overspanningsbeveiliging hebben. Op een andere pc had ik een niet te repareren defect doordat de stroom aan/uit gezet werd door een verlengsnoer+schakelaar. Door onbedoeld heel langzaam te schakelen hoorde ik de vonken vliegen en werd de onboard videokaart c.q. de connecties tussen mobo+video gesloopt. De pc liet wel activiteit horen, maar eer kwam geen beeld. Dat beeld kwam ook niet terug na het plaatsen van een extra videokaart.
24-03-2009, 11:30 door Anoniem
Door SirDice
Door AnoniemHet flashen van de BIOS veranderde niets aan de problemen.
Waarmee een eventueel BIOS virus naar de eeuwige jachtvelden is gezonden.

Occam's scheermes: Je hebt een hardware probleem.

Niet helemaal dus.

Het probleem is dat alle gebruikelijke hardware problemen inmiddels uitgesloten zijn.

Verder kan een rootkit in de BIOS er juist voor zorgen dat het flashen van de BIOS niet doet wat je er van zou verwachten. De meest belangrijke functie van een rootkit is volgens mij toch dat het zijn eigen verwijdering voorkomt. De aanname dat het flashen van de BIOS voor een volledige reset/rewrite zorgt is bij aanwezigheid van een rootkit onjuist.

@ Anoniem@10:46: Bedankt voor je feedback. In mijn geval heb ik diagnose van het hele systeem gemaakt (door vervanging onderdelen en software analyses) en daar komt geen enkel defect uit naar voren. Behalve dan dat het Windows niet grafisch kan starten, maar ik vraag me af of ik dat nu wel of niet als een defect moet zien. In (recovery) console mode werkt alles overigens ook vlekkenloos.

Hoewel ik liever anders geloof blijft de BIOS rootkit tot op heden de meest plausibele oorzaak. Niet omdat een BIOS rootkit "in the wild" op dit moment erg plausibel is, maar omdat alle alternatieven het nog minden zijn.
24-03-2009, 12:01 door spatieman
jumpers??????
hebben borden die nog wel.
en hoe zit het met klapdoosjes.

die ga ik echt niet opereren om te kijken of er junpers in zitten.
24-03-2009, 12:21 door SirDice
Door AnoniemVerder kan een rootkit in de BIOS er juist voor zorgen dat het flashen van de BIOS niet doet wat je er van zou verwachten. De meest belangrijke functie van een rootkit is volgens mij toch dat het zijn eigen verwijdering voorkomt. De aanname dat het flashen van de BIOS voor een volledige reset/rewrite zorgt is bij aanwezigheid van een rootkit onjuist.
BIOS versie nummers zijn simpel te controleren.

Hoewel ik liever anders geloof blijft de BIOS rootkit tot op heden de meest plausibele oorzaak. Niet omdat een BIOS rootkit "in the wild" op dit moment erg plausibel is, maar omdat alle alternatieven het nog minden zijn.
Het meest aannemelijke is een kapot moederboard, juist omdat dit BIOS virus nauwelijks "in het wild" voorkomt.
24-03-2009, 12:58 door Anoniem
Dit drama had ik mijn voorigen leven in 1997 met een Highscreen 486 DX toen ik Norton for your Eyes Only 4.0 installeerden, ik was vergeten het wachtwoord unlock code opschijf, ook Norton for your Eyes Only nestelden zich lekker in Cmos geheugen en overleefde formateren! Uit eindelijk ben ik maar naar de winkel gegaan om mijn computer laten update, nieuw moederboard en harddisk en probleem was opgelost!
24-03-2009, 13:48 door Paultje
Het ziet er naar uit dat virusscanners zo ontworpen moeten worden, dat de BIOS-integriteit voortdurend moet worden gecontroleerd. Een andere methode is via het besturingsysteem dat de gebruiker vooraf waarschuwt op BIOS-veranderingen via UAC.
24-03-2009, 14:08 door Anoniem
Door SirDice
Door AnoniemVerder kan een rootkit in de BIOS er juist voor zorgen dat het flashen van de BIOS niet doet wat je er van zou verwachten. De meest belangrijke functie van een rootkit is volgens mij toch dat het zijn eigen verwijdering voorkomt. De aanname dat het flashen van de BIOS voor een volledige reset/rewrite zorgt is bij aanwezigheid van een rootkit onjuist.
BIOS versie nummers zijn simpel te controleren.
Meen je dit nu serieus? Weet je wat een rootkit is? Met een rootkit kan alles wat doorbovenop draait gecurrumpeert zijn. Het fingeren van een BIOS versie nummer is een van de simpelste mogenlijkheden, en om detecte te voorkomen een noodzakelijke.

Door SirDice
Hoewel ik liever anders geloof blijft de BIOS rootkit tot op heden de meest plausibele oorzaak. Niet omdat een BIOS rootkit "in the wild" op dit moment erg plausibel is, maar omdat alle alternatieven het nog minden zijn.
Het meest aannemelijke is een kapot moederboard, juist omdat dit BIOS virus nauwelijks "in het wild" voorkomt.
Het is inmiddels niet aannemelijk meer dat het een kapot mobo is. Ik kan het mobo op full performance van alle onderdelen zonder enige problemen onder verschillende Linux varianten gebruiken. Onder Windows vindt er een automatische reset plaats zodra er iets grafisch gebeuren moet. De grafische kaart is het echter zeker niet want die is vervangen. De AGP bus lijkt het ook niet te kunnen zijn want dan zou OpenGL onder Linux nooit volledig foutloos in alle mogelijke modi kunnen werken. Ik kan nog een heel lang verhaal houden over alle andere test die ik gedaan heb, maar waar het mee eindigd is dat ik moet concluderen dat er niets met de hardware mis is. Verder repareer ik al meer dan 15 jaar computers, dus vermoed ik niet dat het aan mijn kundigheid ligt.

Totdat ik dit nieuwsbericht las was ik er van overtuigd dat BIOS virusen niet bestaan en dat ik met een onverklaarbare situatie zat.

Nu zit ik met de keuze tussen onmogelijk en onwaarschijnlijk. Guess what?

PS. er hebben inmiddels ook al heel wat andere experts naar het mobo gekeken. Tot op heden is iedereen die ernaar gekeken heeft behoorlijk puzzled.
24-03-2009, 15:24 door SirDice
Verder repareer ik al meer dan 15 jaar computers, dus vermoed ik niet dat het aan mijn kundigheid ligt.
Ach, ik pas 25 jaar. Vervang het moederboard nou maar dan ben je ook van die eventuele bios rommel af ;)
24-03-2009, 16:14 door Anoniem
had dehetzelfde symptomen: windows crashte, linux stabiel.
bij mij was de oorzaak een gepopte condensator op het moederbord, heb je deze alle nagelopen?
24-03-2009, 17:16 door Anoniem
Door SirDice
Verder repareer ik al meer dan 15 jaar computers, dus vermoed ik niet dat het aan mijn kundigheid ligt.
Ach, ik pas 25 jaar. Vervang het moederboard nou maar dan ben je ook van die eventuele bios rommel af ;)
Het mobo, zelfs de hele pc, is reeds vervangen. Maar dat is volstrekt onrelevant voor de vraag of ik misschien een rootkit in de BIOS heb zitten. Ik heb uiteraard de wink aan het einde van je zin wel gezien, maar ik vind je reactie allerminst bijdragen aan het eventueel kunnen uitsluiten vanwel bevestigen van mijn vermoeden.

Gezien je geschatte leeftijd, die ongeveer hetzelfde lijkt te zijn dan de die van mij, heb ik er zo mijn twijfels bij of jij echt al 25 jaar computers repareert. Ik geloof niet dat er in Nederland 25 jaar geleden (1984) (pre-)tieners waren die aan computers sleutelden. Het zou fijn zijn als je eerlijk blijft. Mijn excuses als je veel ouder bent dan je lijkt en je al wel 25 jaar computers repareert.
24-03-2009, 18:34 door SirDice
Door Anoniem
Door SirDice
Verder repareer ik al meer dan 15 jaar computers, dus vermoed ik niet dat het aan mijn kundigheid ligt.
Ach, ik pas 25 jaar. Vervang het moederboard nou maar dan ben je ook van die eventuele bios rommel af ;)
Het mobo, zelfs de hele pc, is reeds vervangen. Maar dat is volstrekt onrelevant voor de vraag of ik misschien een rootkit in de BIOS heb zitten.
Zeker wel relevant aangezien het BIOS op het moederboard zit.

Gezien je geschatte leeftijd, die ongeveer hetzelfde lijkt te zijn dan de die van mij, heb ik er zo mijn twijfels bij of jij echt al 25 jaar computers repareert. Ik geloof niet dat er in Nederland 25 jaar geleden (1984) (pre-)tieners waren die aan computers sleutelden.
Geboren in 1971 en ja, ik was 12 toen ik begon.
24-03-2009, 19:39 door Anoniem
Door Anoniem
Door SirDice
Verder repareer ik al meer dan 15 jaar computers, dus vermoed ik niet dat het aan mijn kundigheid ligt.
Ach, ik pas 25 jaar. Vervang het moederboard nou maar dan ben je ook van die eventuele bios rommel af ;)
Het mobo, zelfs de hele pc, is reeds vervangen. Maar dat is volstrekt onrelevant voor de vraag of ik misschien een rootkit in de BIOS heb zitten. Ik heb uiteraard de wink aan het einde van je zin wel gezien, maar ik vind je reactie allerminst bijdragen aan het eventueel kunnen uitsluiten vanwel bevestigen van mijn vermoeden.

Gezien je geschatte leeftijd, die ongeveer hetzelfde lijkt te zijn dan de die van mij, heb ik er zo mijn twijfels bij of jij echt al 25 jaar computers repareert. Ik geloof niet dat er in Nederland 25 jaar geleden (1984) (pre-)tieners waren die aan computers sleutelden. Het zou fijn zijn als je eerlijk blijft. Mijn excuses als je veel ouder bent dan je lijkt en je al wel 25 jaar computers repareert.
mijn voormalig werkgever had al 25 jaar een computerbedrijf, en daarvoor ook al voor zichzelf hobbymatig bezig met computers, dus het kan wel...
ikzelf repareer nu voor mn werk 5 jaar computers, en werk er al 16 jaar mee, uiteindelijk heb ik er mijn werk van gemaakt...
maar ik kan mij nog een gevalletje heugen uit 1998 waarbij ik op een toen ook al oude machine, waarschijnlijk een 486 of pen1, een achtergebleven virus ontdekte, en die zat ook in de bios...

gelukkig werd die toen herkend (toen het zich naar elke schijf en diskette wou schrijven die je aansloot), voordat er schade aangericht kon worden maar het kan dus wel, al is dat het enige geval waar ik van weet... dat zal zo ongeveer op mijn eerste stageplaats geweest zijn denk ik...

(maar voor de rest, als ik het verhaal een beetje goed begrepen heb, dan zou ik ook als eerste aan een ander probleem met bios of moederbord gaan denken)
24-03-2009, 19:48 door Anoniem
Door SirDiceGeboren in 1971 en ja, ik was 12 toen ik begon.

Dan ben je toch iets ouder dan ik (1977). Dat je op je 12de begon te sleutelen aan computer, toen nog zeer dure en vrij zeldzame apparaten, blijft op opmerkelijk. Maar goed, het zal wel kloppen. Het past in ieder geval wel in de rest van je achtergrond. Sorry voor het in twijfel trekken.

Des te meer verbaast het me dat je reacties er enkel op gericht zijn het probleem, een mobo die geen Windows wil booten, pragmatisch op te lossen door het te vervangen. De mogelijkheid dat het BIOS gehackt is sluit je categorisch uit op grond dat het in het wild niet voor komt, wat niet te staven valt aangezien in de meeste (zo niet alle) gevallen mobo's vervangen zullen worden bij infectie van een BIOS. Nu blijkt dat BIOS infectie in ieder geval mogelijk is, denk ik dat die conservatieve conclusie niet langer hoog gehouden kan worden. Het verbaast me werkelijk dat je dat niet lijkt te snappen.

Ik had het mobo al in de kast gegooid om er later nog eens naar te kijken. Ik geloof dat ik er nu toch maar eens de BIOS flash chip af ga peuteren en eens low-level uit ga lezen. Indien ik uiteindelijk iets afwijkend aantref meld ik me wel weer.
25-03-2009, 10:43 door SirDice
Dan ben je toch iets ouder dan ik (1977). Dat je op je 12de begon te sleutelen aan computer, toen nog zeer dure en vrij zeldzame apparaten, blijft op opmerkelijk.
Het was een C-64, die waren in die tijd niet echt zeldzaam. Duur was'ie wel, toen zo'n 1000 gulden, maar gelukkig had ik een paar ouders met een vooruitziende blik. Zo gek veel zijn computers niet veranderd, zelfs de huidige 64 bitters wijken niet veel af van het basis principe.

Des te meer verbaast het me dat je reacties er enkel op gericht zijn het probleem, een mobo die geen Windows wil booten, pragmatisch op te lossen door het te vervangen.
Schrodinger's kat.. Er is soms gewoon niet te achterhalen wat het echte probleem is.

Nu blijkt dat BIOS infectie in ieder geval mogelijk is, denk ik dat die conservatieve conclusie niet langer hoog gehouden kan worden.
Sinds moederboarden een flashbare BIOS hebben is dit al mogelijk. Dat er malware is die dit kan daar twijfel ik niet aan. Echter elk moederboard fabrikant gebruikt z'n eigen processen hiervoor. De kans dat jij nu net die ene te pakken hebt die toevallig ook nog eens op jouw moederboard werkt is wel heel erg klein. De kans dat er iets kapot is op dat board is vele malen groter. De kans dat er een compatibiliteits probleem tussen het moederboard en de andere hardware is is ook groter.

Dat het board het op Linux goed doet zegt eigenlijk helemaal niets. Windows en Linux gebruiken verschillende technieken om hardware aan te spreken. Klaarblijkelijk doet Windows iets wat het defect (of de incompatibiliteit) triggert. Het had net zo goed andersom kunnen wezen.
25-03-2009, 15:58 door SirDice
Door Anoniemikzelf repareer nu voor mn werk 5 jaar computers, en werk er al 16 jaar mee, uiteindelijk heb ik er mijn werk van gemaakt...
maar ik kan mij nog een gevalletje heugen uit 1998 waarbij ik op een toen ook al oude machine, waarschijnlijk een 486 of pen1, een achtergebleven virus ontdekte, en die zat ook in de bios...
Ik vermoed eerder dat het een virus was die zich in het MBR nestelde. Eenmaal geladen kon het zichzelf 'verbergen'. Een mooi voorbeeld daarvan was [url=http://en.wikipedia.org/wiki/Lamer_Exterminator_(computer_virus)]"Lamer Exterminator"[/url] op de Amiga. Heel vervelend ding.
26-03-2009, 15:10 door Anoniem
Heb hier een HP pavillion 760 met een MSI MoBo staan vanwege en merkwaardige virus besmetting. Windows XP SP3 ging plots plat en bleef vervolgens rebooten in een loop. Na wat reparatie acties loopt deze pc weer maarrrr ook zonder netwerkverbinding wordt de update datum en tijd in AVG 8.0 enkele malen per dag opgehoogd terwijl het versie nummer blijft zoals het is. Met een legertje virusscanner gezocht en niets te vinden.Update naar 8.5 vanaf CD haalt eveneens niets uit. Vreemde effecten bij het wijzigen van wachtwoorden in Win XP. Wijzigingen worden niet geaccepteerd maar blijken wel doorgevoerd te zijn bij een volgende inlog poging. Gaat hier om een win XP instalolatie die zo te zien gewoon bij is met security packs en dergelijke. Vervolgens een andere zeer waarschijnlijk schone HD uit mijn prive voorraad genomen en win XP geïnstalleerd na formatteren HD vanaf originele HP/Compaq CD gevolgd door SP2 en SP3 vanaf CD. Daarna AVG 8.5 vanaf CD geïnstalleerd. Dit alles zonder netwerk verbinding en wederom worden tijd en datum van de update in AVG 8.5 enkele malen per dag aangepast. Vervolgens vanaf schijf beveiligde floppy gemaakt op weer een andere pc zonder problemen de BIOS update uitgevoerd van versie 3.06 naar 3.12 en de update van datum en tijd in AVG gaan gewoon door. Begin dus na het lezen van dit artikel zo langzaam aan te geloven in BIOS besmetting. Iemand suggesties? Alvast bedankt bij deze.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.