Sveiki, Galbūt puslapio pavadinimas neatitinka straipsnio pagrindinės minties, bet pabandysiu antru sakiniu išaiškinti apie ką bus kalbama šiame straipsnyje. Taigi "BadBIOS" - yra paslaptinga kenkėjiška programinė įranga kuri paveikia šiuolaikinius Mac ir PC kompiuterius.
Prieš tris metus, saugumo konsultantas Dragos Ruiu buvo savo laboratorijoje, kai pastebėjo kažką labai neįprasto: savo "MacBook Air", su ką tik įdiegta nauja OS X, spontaniškai atsnaujino firmware, kuris atsakingas už sistemos įkrovą. Keista tai jog, kai Ruiu bandė paleisti mašiną iš CD-ROM, sistema atsisakė tai daryti. Jis taip pat pamatė, kad mašina gali ištrinti duomenis ir atšaukti konfigūracijos pakeitimus be jokių įspėjimų ar užklausų. Tuomet jis dar nežinojo, kad tai kenkėjiška programa kuri jam užims daug laiko ir bemiegių naktų norint išaiškinti kas tai yra iš tikrųjų.
Po keleto mėnesių, Ruiu stebėjo daugiau keistų reiškinių, viskas atrodė, kaip iš mokslinės fantastikos trilerių. Kompiuteris su OpenBSD operacine sistema taip pat pradėjo keisti savo parametrus ir ištrinti savo duomenis be jokių paaiškinimų ar įspėjimų. Jo tinklas pradėjo perduoti duomenis panašiai kaip naujos kartos IPv6 protokolas, net iš kompiuterių kur protokolas buvo visiškai išjungtas. Keisčiausias dalykas iš visų buvo užkrėstų mašinų gebėjimas perduodi nedidelius duomenų srautus su kitomis užkrėstomis mašinomis, nors maitinimo laidai, tinklo kortos, wi-fi ir bluetooth buvo visiškai išimtos. Tolimesnis tyrimas parodė, kad peveiktų operacijų sistemų sąrašas kur kas platesnis, įtraukiant kelis variantus Windows ir Linux.
Mes turėjome ištrinti visas savo sistemas ir pradėti nuo nulio, tai ir darėme. Tai buvo labai skausmingas procesas.
Per praėjusius trejus metus, Ruiu sakė, kad infekcijos išliko beveik kaip bakterijų padermės, kurios gali išgyventi ekstremalias antibiotikų terapijas. Per kelias valandas ar savaites "švariame" kompiuteryje keista elgsena sugrįžta. Labiausiai matomas ženklas užteršimo mašinoje, negalėjimas jos paleisti iš CD, kitus subtilesnius dalykus galima pastebėti, naudojant įvairias priemones, pavyzdžiui, Process Monitor, kuri yra skirta trikčių diagnostikos ir kriminalistikos tyrimams.
Kita intriguojanti charakteristika: izoliuojant užrestus kompiuterius nuo kitų prie tinklo prijungtų kompiuterių, kenkėjiška programa išsigydo pati.
Mes turėjome kompiuterį, kurio [Firmware] BIOS perrašytas, švieži nauji diskai ir nulis duomenų, iš CD šviežiai įdiegta Windows. "Vienu metu redaguojant registrą", redaktorius staiga buvo išjungtas ir uždraustas. Tai buvo tarsi: "palauk, kaip tai gali atsitikti ? Kaip mašina gali reaguoti ir pulti programinę įrangą, kurią mes naudojame pulti ją?". - "Tai prie niekur neprijungta mašina o nešiojamas kompiuteris maitinamas iš akumuliatoriaus, neprijungtas prie jokių tinklų ar kitaip ir staiga užsiblokuoja registro redaktorius, kurio pagalba ieškome kenkėjiškos programinės įrangos pėdsakų ."
Per pastarąsias dvi savaites, Ruiu ėmėsi "Twitter", "Facebook" ir "Google Plus" dokumentuoti savo tyrimo odisėją ir dalintis teorija, kuri sukėlė kai kurių pirmaujančių pasaulio saugumo ekspertų dėmesį. Ruiu mano, kad kenkėjiška programa, perduodama per USB duomenis bando užkrėsti žemiausią programinės įrangos lygį. Su galimybe nukreipti kompiuterio Basic Input / Output System (BIOS), Unified Extensible Firmware Interface (UEFI), o galbūt ir kitų firmware standartus, gali atakuoti įvairias platformas, pabėgti ieškant paplitusiais aptikimo būdais ir išgyventi bandymus ją visiškai išnaikinti.
Tačiau istorija tampa keistesnė ir skamba kaip iš post-apokaliptinio filmo scenarijaus: "badBIOS", kaip Ruiu pavadino, turi galimybę naudoti aukšto dažnio transliacijas tarp kompiuterio garsiakalbių ir mikrofonų ir taip sąveikauti tarpusavyje.
Sniego žmogus technologijų amžiuje
Ruiu šia kenkėjišką programinę įranga priskyrė sniego žmogaus medžioklei. Kažkas matė bet nežino ar įmanoma jo egzistencija. Šiuo atveju nors keli kolegos saugumo ekspertai pradėjo nagrinėti jo tyrimą savomis sąlygomis, nei vienas recenzuojamas laiškas ar preliminari išvada kol kas nebuvo paviešinta.Taip pat nepaaiškinama, kodėl tik Ruiu aptiko tokią pažangią ir egzotinę ataką. Kaip saugumo specialistas, iš tarptautiniu mastu pripažintų CanSecWest ir PacSec konferencijos organizatorius, ir į Pwn2Own įsilaužimo konkurencijos įkūrėjas, jis, be abejo, tapo patraukliu taikiniu valstybės remiamų šnipų ir finansiškai motyvuotų įsilaužėlių. Bet jis niekuo neišsiskiria iš kitų galimų taikinių ir bendraamžių kurie užsiima ta pačia veikla. Kodėl būtent jo tinklas ir kompiuteriai turėjo nukentėti, kol kas nepaaiškinama.
Arrigo Triulzi sakė, kad jis matė daug firmware grupės kenkėjiškų programų laboratorijose. Kartą eksperimento metu jo Mac UEFI BIOS užsikrėtė virusu. Prieš penkerius metus, Triulzi pats sukūrė kaip įrodymo koncepciją, kenkėjiškas programas, kurios slapta užkrečia tinklo sąsajos valdiklius, pasislepia ir teikia Ethernet jungtį, kuria jungiama mašiną prie tinklo.
Jo tyrimai paremti John Heasman darbais, parodė, kaip įtaisyti sunkiai aptinkamą kenkėjišką programą žinomą kaip kompiuterio periferinių komponentų sąsajos, "Intel" sukurtą ryšį, kuris teikia aparatūros įrenginius prie procesoriaus, atsarginį įėjimą.
Taip pat galima naudoti aukšto dažnio garsus transliuojamus per garsiakalbius ir siųsti tinklo paketus. Ankstyvi tinklų standartai, naudojo šią techniką, sakė saugumo ekspertas Rob Graham. Ultragarso pagrįstas tinklas taip pat yra daug mokslinių tyrimų, įskaitant šių mokslininkų MIT projektą.
Žinoma, tai vienas dalykas, mokslo laboratorijoje parodyti perspektyvių firmware parazituojančių rootkit ir ultra aukšto dažnio tinklų technologijas. Bet kaip Triulzi pasiūlė, tai dar vienas dalykas visiškai sklandžiai sujungus dvi technologijas naudoti realiame pasaulyje kaip ginklą. Dar daugiau, naudojant USB raktą užkrėsti kompiuterinių platformų masyvus iki BIOS lygio. Taip pat be galo įdomus ir badBios gebėjimas bendrauti su kitais prietaisais naudojant "Bluetooth" radijo signalus.
Rezultatas
Per tris metus imtynių su badBIOS, infekcijos mechanizmas liko paslaptis. Mėnesį ar du atgal, pirkdamas naują kompiuterį Ruiu, pastebėjo, kad jis buvo beveik iš karto užkrėstas, kai jis įjungė vieną iš savo USB į jį. Jis netrukus sukūrė teoriją, jog kenkėjas taip pat gali apkrėsti USB įrenginius."Įtarimas dabar yra dėl buferio perpildymo BIOS'e", taip pat dėl BIOS papildymų skyrių pridėjimo bei jo perrašymo.
Jis vis dar nežino ar USB atmintinė buvo pradinis infekcijos taškas sukeltas jo "MacBook Air" prieš trejus metus. Dabar jis galėtų nustatyti iš kurio USB užkrėstas buvo kompiuteris. Nuo kito mėnesio PacSec konferencijoje Ruiu sakė planuojąs gauti prieigą prie brangios USB analizės įrangos, tad jis tikisi, išaiškinti infekcijos mechanizmą.
Jis sakė, įtariantis jog badBIOS yra tik pradinis modulis iš kelių etapų sudarančių įkrovą, taip pat turintis galimybę užkrėsti Windows,"Mac OS X, BSD ir Linux operacines sistemas.
Hipotezė tokia, jeigu kenkėjas nenori jog kompiuteris krautų kitą OS iš CD, jis neturi pilnos programinės įrangos integruotos BIOS'e ir yra sukarpytas dalimis. Šaknys BIOS, Visa kita dalis pasklidusi tinkle, usb rakteliuose, OS'e ir t.t.
Ruiu sakė, kad jis priėjo prie teorijos apie badBIOS aukštųjų dažnių tinklo pajėgumus, užkoduotų duomenų paketus siunčiamus į ir iš užkrėstų kompiuterių, šalia buvo kita badBIOS-užkrėsto kompiuterio sistema. Paketai buvo perduoti net tada, kai iš nešiojamojo kompiuterio buvo pašalintos Wi-Fi ir Bluetooth kortos. Ruiu taip pat atjungė aparato maitinimo laidą, aparatas veikė su baterija, tai buvo padaryta užtikrinant, kad aparatas neturėtų signalų su elektros maitinimo linijomis. Net ir tada, kriminalistikos įrankiai parodė paketus tekančius toliau. Tada, kai Ruiu pašalino vidinį garsiakalbį ir mikrofoną, paketai nustojo tekėti.
Su garsiakalbiais ir MIC sąveika, Ruiu sakė, izoliuotas kompiuteris atrodė naudojantis aukšto dažnio ryšį išlaikyti badBIOS infekcijos vientisumą.
Visiškai atjungta ir apribota mašina elgėsi taip lyg būtų prijungta prie interneto. Kai mes bandėme sistemoje išjungti skirtingus parametrus ar funkcijas, viskas atsistatydavo iš naujo, arba sistema neleisdavo mums nieko keisti, tai buvo mistika.
Per anksti su pasitikėjimu sakyti, kad tai buvo USB perduodamas kenkėjiškas kodas, kuris užkrečia BIOS ir užvaldo bet kokią operacijų sistema, gali nevaržomai bendrauti su kitomis mašinomis nenaudojant fizinio ar belaidžio tinklo infrastruktūrų, kad gali plisti aukšto dažnio garsu. Bet tai yra faktas, kad kažkas stengiasi mus nustebinti su nauja kenkėjiškų programų era, tad būkime viskam pasiruošę!
Komentarų nėra:
Rašyti komentarą