Mysterieuze BIOS-malware kan zich via USB-stick verspreiden
De nog altijd mysterieuze malware die de BIOS van computers en laptops kan infecteren blijkt zich via USB-sticks te kunnen verspreiden. Twee weken geleden sloeg beveiligingsonderzoeker Dragos Ruiu, de bedenker van de bekende Pwn2Own-hackerwedstrijden, alarm over een onbekende BIOS-malware.
De BIOS (Basic Input/output System) is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die draait bij het opstarten. Een aanval op de BIOS kan vergaande gevolgen hebben en is lastig door bijvoorbeeld een virusscanner op de desktop te detecteren.
De malware die Ruiu had ontdekt bleek de BIOS permanent te infecteren en kon het zogeheten flashen van de BIOS, waarbij er een update wordt geïnstalleerd, overleven. Daarnaast beschikt de malware over een BIOS-hypervisor, ook wel een virtual machine monitor (VMM) genoemd waarin een Virtual Machine wordt gedraaid, en Software Defined Radio (SDR)-functionaliteit om 'air gaps' te overbruggen. Ruiu zegt dat hij de malware op Dell Alienware, Thinkpads en Sony-laptops heeft aangetroffen.
USB-stick
De onderzoeker heeft nu ontdekt dat deze BIOS-malware zich ook via USB-sticks kan verspreiden. Het aansluiten van een USB-stick van een besmet systeem op een schoon systeem is voldoende om het schone systeem te infecteren. "Dit was op een BSD-systeem, dus het is zeker geen Windowsprobleem", aldus Ruiu in een bericht op Google Plus. Hij merkt op dat de USB-stick niet eens gemount was om het systeem toch te infecteren.
Volgens Ruiu lijkt het erop dat een besmet systeem de flash-controller op de USB-sticks herprogrammeert om zo het systeem en mogelijk ook de BIOS aan te vallen. Het onderzoek wordt bemoeilijkt doordat het zeer lastig is om gegevens van een besmet systeem te halen, laat de onderzoeker verder weten.
Vooralsnog lijkt het erop dat de malware op Windows allerlei fontbestanden gebruikt. Ruiu trof allerlei extra ttf- en fon-bestanden op een besmet Windowssysteem aan, waarbij er drie opvallen, namelijk meiryo, meiryob en malgunnb. "Ik ben nog steeds met de analyse bezig, maar ik weet zeker dat we ALLEMAAL een groot probleem hebben", concludeert Ruiu.
Wat ik veel interessanter is dat is dat het kennelijk mogelijk is een USB controller code te laten uitvoeren door er
een stick op aan te sluiten. Dat moet wel haast met opzet ingebouwde functionaliteit zijn. Iets voor testen, of voor
het booten van diskless toepassingen ofzo. Of voor veiligheidsdiensten dan wel opsporingsinstanties.
Het is wachten op meer details, mysterieus blijft het.
Ook al kan dit een biosflash overleven, steek je toch gewoon een nieuwe chip.
Met enig geluk is de betreffende chip niet gesoldeerd maar los te halen, zodat de chip te vervangen is (door een identieke chip met het juiste BIOS erop uiteraard), maar in veel gevallen zal de chip wél gesoldeerd zijn. (Hoe zit dat met de nieuwere generaties borden? Zit de BIOS-chip daarop gesoldeerd, of worden borden met verwisselbare chips aangeboden?)
Het lossolderen van de chip en het solderen van de vervangende chip is een karweitje waar beslist niet iedereen de handigheid voor heeft. Het steken van een nieuwe chip lijkt me daarom beslist niet zo 'gewoon'.
Wat ik veel interessanter is dat is dat het kennelijk mogelijk is een USB controller code te laten uitvoeren door er
een stick op aan te sluiten. Dat moet wel haast met opzet ingebouwde functionaliteit zijn. Iets voor testen, of voor
het booten van diskless toepassingen ofzo. Of voor veiligheidsdiensten dan wel opsporingsinstanties.
Ergens op z'n twitter zag ik dat het zou gaan om hoog frequent audio.
Technisch wellicht mogelijk voor een min of meer room-sized ad hoc netwerk, maar nog steeds bepaald niet off the shelf.
Voorlopig hebben we heel veel claims en buzzwords van de onderzoeker, en heel weinig meer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
