image

Mysterieuze BIOS-malware kan zich via USB-stick verspreiden

zondag 27 oktober 2013, 09:17 door Redactie, 9 reacties

De nog altijd mysterieuze malware die de BIOS van computers en laptops kan infecteren blijkt zich via USB-sticks te kunnen verspreiden. Twee weken geleden sloeg beveiligingsonderzoeker Dragos Ruiu, de bedenker van de bekende Pwn2Own-hackerwedstrijden, alarm over een onbekende BIOS-malware.

De BIOS (Basic Input/output System) is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die draait bij het opstarten. Een aanval op de BIOS kan vergaande gevolgen hebben en is lastig door bijvoorbeeld een virusscanner op de desktop te detecteren.

De malware die Ruiu had ontdekt bleek de BIOS permanent te infecteren en kon het zogeheten flashen van de BIOS, waarbij er een update wordt geïnstalleerd, overleven. Daarnaast beschikt de malware over een BIOS-hypervisor, ook wel een virtual machine monitor (VMM) genoemd waarin een Virtual Machine wordt gedraaid, en Software Defined Radio (SDR)-functionaliteit om 'air gaps' te overbruggen. Ruiu zegt dat hij de malware op Dell Alienware, Thinkpads en Sony-laptops heeft aangetroffen.

USB-stick

De onderzoeker heeft nu ontdekt dat deze BIOS-malware zich ook via USB-sticks kan verspreiden. Het aansluiten van een USB-stick van een besmet systeem op een schoon systeem is voldoende om het schone systeem te infecteren. "Dit was op een BSD-systeem, dus het is zeker geen Windowsprobleem", aldus Ruiu in een bericht op Google Plus. Hij merkt op dat de USB-stick niet eens gemount was om het systeem toch te infecteren.

Volgens Ruiu lijkt het erop dat een besmet systeem de flash-controller op de USB-sticks herprogrammeert om zo het systeem en mogelijk ook de BIOS aan te vallen. Het onderzoek wordt bemoeilijkt doordat het zeer lastig is om gegevens van een besmet systeem te halen, laat de onderzoeker verder weten.

Vooralsnog lijkt het erop dat de malware op Windows allerlei fontbestanden gebruikt. Ruiu trof allerlei extra ttf- en fon-bestanden op een besmet Windowssysteem aan, waarbij er drie opvallen, namelijk meiryo, meiryob en malgunnb. "Ik ben nog steeds met de analyse bezig, maar ik weet zeker dat we ALLEMAAL een groot probleem hebben", concludeert Ruiu.

Reacties (9)
27-10-2013, 10:37 door Marti van Lin
Ach, we hebben nu het "super veilige" UEFI, toch?
27-10-2013, 14:55 door [Account Verwijderd]
[Verwijderd]
27-10-2013, 15:31 door Anoniem
Als dit waar is, is het zo'n enorme stap voorwaarts in malware-ontwikkeling dat het haast buitenaards moet zijn. Vooral het "SDR" deel.
27-10-2013, 19:49 door Anoniem
Door Anoniem: Als dit waar is, is het zo'n enorme stap voorwaarts in malware-ontwikkeling dat het haast buitenaards moet zijn. Vooral het "SDR" deel.
Dat vind ik nou juist het minste. Dat is off-the-shelf technologie.
Wat ik veel interessanter is dat is dat het kennelijk mogelijk is een USB controller code te laten uitvoeren door er
een stick op aan te sluiten. Dat moet wel haast met opzet ingebouwde functionaliteit zijn. Iets voor testen, of voor
het booten van diskless toepassingen ofzo. Of voor veiligheidsdiensten dan wel opsporingsinstanties.
27-10-2013, 20:32 door Anoniem
"The tell is still that #badBIOS systems refuse to boot CDs (this is across all oses, including my Macs) "

Het is wachten op meer details, mysterieus blijft het.
27-10-2013, 22:10 door Anoniem
Ik vraag me wel af wie het een goed idee vond om hier tijd in te steken. Ook al kan dit een biosflash overleven, steek je toch gewoon een nieuwe chip.
27-10-2013, 23:30 door Spiff has left the building
Door Anoniem, 22:10 uur:
Ook al kan dit een biosflash overleven, steek je toch gewoon een nieuwe chip.
Wat bedoel je precies met 'gewoon'?
Met enig geluk is de betreffende chip niet gesoldeerd maar los te halen, zodat de chip te vervangen is (door een identieke chip met het juiste BIOS erop uiteraard), maar in veel gevallen zal de chip wél gesoldeerd zijn. (Hoe zit dat met de nieuwere generaties borden? Zit de BIOS-chip daarop gesoldeerd, of worden borden met verwisselbare chips aangeboden?)
Het lossolderen van de chip en het solderen van de vervangende chip is een karweitje waar beslist niet iedereen de handigheid voor heeft. Het steken van een nieuwe chip lijkt me daarom beslist niet zo 'gewoon'.
28-10-2013, 08:35 door Anoniem
Door Anoniem:
Door Anoniem: Als dit waar is, is het zo'n enorme stap voorwaarts in malware-ontwikkeling dat het haast buitenaards moet zijn. Vooral het "SDR" deel.
Dat vind ik nou juist het minste. Dat is off-the-shelf technologie.
Dan weet jij meer dan ik, mij verbaast het. Ik ben bekend met werk als GNURadio en SDR in het algemeen, maar niet met alom aanwezige hardware in pc's (dat is: rappe a/d en d/a converters, die aan een een vermogensversterker hangen + iets dat als antenne fungeert) die gebruikt kan worden.

Wat ik veel interessanter is dat is dat het kennelijk mogelijk is een USB controller code te laten uitvoeren door er
een stick op aan te sluiten. Dat moet wel haast met opzet ingebouwde functionaliteit zijn. Iets voor testen, of voor
het booten van diskless toepassingen ofzo. Of voor veiligheidsdiensten dan wel opsporingsinstanties.
Ja. Die USB controller kan dus kennelijk zelf code uitvoeren of de CPU code uit laten voeren om te flashen; verschillende USB controllers kunnen dit, of verschillende USB controllers worden ondersteund door de malware, of de onderzoeker had precies de juiste.
28-10-2013, 15:45 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Als dit waar is, is het zo'n enorme stap voorwaarts in malware-ontwikkeling dat het haast buitenaards moet zijn. Vooral het "SDR" deel.
Dat vind ik nou juist het minste. Dat is off-the-shelf technologie.
Dan weet jij meer dan ik, mij verbaast het. Ik ben bekend met werk als GNURadio en SDR in het algemeen, maar niet met alom aanwezige hardware in pc's (dat is: rappe a/d en d/a converters, die aan een een vermogensversterker hangen + iets dat als antenne fungeert) die gebruikt kan worden.


Ergens op z'n twitter zag ik dat het zou gaan om hoog frequent audio.
Technisch wellicht mogelijk voor een min of meer room-sized ad hoc netwerk, maar nog steeds bepaald niet off the shelf.

Voorlopig hebben we heel veel claims en buzzwords van de onderzoeker, en heel weinig meer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.