Hva er verre, forskere nylig demonstrert at BIOS malware kan angripe flere plattformer og infisere hovedkort av mange forskjellige produsenter. BIOS-baserte malware har potensial til å spre seg ikke bare på tvers av ulike operativsystemer, men også gjennom mange forskjellige typer hardware-- og disse angrepene er vanskelig, men ikke umulig, å oppdage og forebygge.
den nyeste BIOS malware angrep
i mars på CanSecWest sikkerhetskonferansen, som arrangeres i Vancouver, forskere Alfredo Ortega og Anibal Sacco hos Core Security Technologies Inc. vist en generisk BIOS angrep som kan injisere ondsinnet kode i mange forskjellige BIOS-typer. En angriper som kompromittert BIOS på denne måten ville ha full kontroll over den underliggende firmware, uavhengig av operativsystem.
Lytt til dette tipset som en podcast!
Til nå har felles visdom vært at den store utvalg av BIOS implementeringer betyr at det er drivverdige for angripere å lage bærbare, utbredt BIOS malware. Kjerne forskere beviste dette galt. Ifølge Kjerne CTO, Ivan Arce, forskerne identifisert en bestemt del av BIOS-kode - en dekompresjon rutine - som brukes i de fleste hovedkort. BIOS koden lagres komprimert slik at det tar mindre plass, og koden må dekomprimeres før den kjører. Dekomprimeringsrutinen er nøyaktig den samme i mange forskjellige hovedkort. Dette gir angripere en eneste bit med kode som de kan målrette for å kompromittere mange forskjellige BIOSes. Resultatet? For første gang, viste forskerne at BIOS-nivå malware kan praktisk talt infisere et bredt utvalg av maskinvare.
For å demonstrere, forskerne injisert kode i den generiske BIOS dekompresjon rutine av en kommersiell BIOS, og oppdatert tilsvarende kontrollsummer i firmware. Da de re-blinket BIOS og demonstrert starte en Windows-maskin, samt en egen VMware gjest kjører OpenBSD.
En angriper som kompromittert BIOS på denne måten, kan kjøre kode ved hver oppstart, og installere en tradisjonelle rootkit på harddisken systemets. Selv om harddisken var helt overskrevet og re-installert, BIOS malware kan bare re-infisere den igjen.
En historie om BIOS-malware angrep
Tidlig BIOS versjoner ble lagret i skrivebeskyttet minne og kan ikke endres av en bruker (eller en angriper). Over tid, produsenter byttet til elektronisk slettbare formater, slik som flash-minne, slik at brukerne kunne oppgradere, eller " flash, " BIOS når det er nødvendig.
Rudimentære BIOS angrep har eksistert i mer enn et tiår. Tilbake i 1999, den beryktede Tsjernobyl-viruset, eller CIH virus, desimert minst 700.000 systemer over hele verden. Tsjernobyl-malware er designet for å overskrive harddisken og slette BIOS for hovedkort som bruker Pentium 430TX-brikkesettet. Den koreanske Høyesterett, tyrkisk politi avdelinger og mange private selskaper led data ødeleggelse.
Tsjernobyl er spredt ble delvis tilskrives legitime produsenter som IBM, Yamaha Corp og Activision Inc. (samt programvarepirater) som uten å vite fordelt viruset i kommersielle produkter. Men Tsjernobyl effekt på BIOSes var begrenset, siden det kan bare påvirke en bestemt brikkesett, og nyttelasten var usofistikert.
Flere feil?
i dag, moderne BIOS angrepene har potensial til å være ekstremt stealthy og bærbare. For å gjøre å oppgradere mer praktisk, har produsenter og tredjeparter jobbet for å gjøre BIOS-oppdateringer enklere. Men som alltid, med bekvemmelighet kommer risiko. Det finnes mange gratis BIOS-blinkende verktøy som vil skanne et system og installere den nyeste BIOS fra Internett. BIOS-oppdateringer vert tredjeparts nettsteder kan være infisert, og BIOS oppdateringsverktøy selv kan være skadelig. Produsenter gir vanligvis oppdatering over godkjente HTTP og FTP-tilkoblinger, slik at brukere er sårbare for mann-in-the-middle angrep.
Dessverre er bare en liten prosentandel av produsenter kryptografisk signere sine BIOS-oppdateringer, og noen hovedkort kan bekrefte signaturer . Resultatet er at brukerne ikke kan bekrefte at de har lastet ned en produsent-godkjent BIOS. Videre kan angripere utnytte standard infeksjon vektorer til å utføre sine egne BIOS-blinkende verktøy, uten kjennskap til brukeren.
Hvordan å oppdage og forhindre BIOS infeksjoner
Oppdager BIOS-infeksjoner er vanskelig. Det er mulig å beregne kryptografisk hash av en kjent, klarert BIOS, og sammenligne det med BIOS som faktisk er installert. Men som Ivan Arce hos Core Security har påpekt, kan sofistikert BIOS malware prøve å unngå at innsjekking.
Det er to måter å konsekvent hindre BIOS infeksjon. Først kan du fysisk sette BIOS til å være ikke-skrivbar. Dette innebærer ofte å sette en jumper på hovedkortet, som vil fysisk hindre BIOS endringer. For bedrifter som utfører ekstern BIOS-oppdateringer, konfigurere fysiske BIOS skrivebeskyttelse ville være et stort tilbakeskritt i form av vedlikeholdseffektivitet (selv om krefter involvert i å rydde opp etter en BIOS-infeksjon kan være større).
For det andre, fremveksten av Trusted Platform Module (TPM) standarder og lignende initiativer betyr at noen nye utstyret støtter maskinvarebasert BIOS integritet sjekking. Ved hjelp av en hardware kryptografisk nøkkel som er brent inn i brikken ved produksjonen, kan TPM-baserte datamaskiner bekrefte at BIOSes er produsent-godkjent og har ikke blitt endret.
To tiår siden, lærte vi på den harde måten at operativsystemer kan være infisert med virus i hopetall. Det tok tid for angripere å utnytte sårbarheter, og for antivirusbransjen til å reagere deretter. BIOS-baserte malware er bare et nytt skritt i våpenkappløpet. En enorm mengde ikke-TPM utstyr fortsatt blir produsert, og BIOS-produsenter tar få om noen forholdsregler for BIOS-oppdatering distribusjon.
Som BIOS modifikasjon blir lettere og som flere bærbare angrep er utviklet, BIOS malware vil utvilsomt dukke opp . Sikkerhet proffer må være årvåken, oppfordrer gjennomføring av Trusted Computing infrastrukturer, og utnytte dem når de eksisterer
Om forfatteren:.
Sherri Davidoff er medforfatter av den nye SANS class " Sec558: Nettverk Forensics " og forfatter av Philosecurity. Hun er en GIAC-sertifisert rettsmedisinske sensor og penetrasjon tester. Hun gir sikkerhet rådgivning for mange typer organisasjoner, inkludert juridiske, økonomiske, helsevesen, industri, akademiske og offentlige institusjoner.