Trazi

Rakshasa: Nevidljiva i neizlečiva infekcija malverom

Opisi virusa, 31.07.2012, 11:36 AM

Rakshasa: Nevidljiva i neizlečiva infekcija malverom

Istraživač Džonatan Brosard autor je proof-of-concept backdoor malvera nazvanog Rakshasa koji zamenjuje BIOS (Basic Input Output System) i koji može kompromitovati operativni sistem odmah po uključivanju računara ne ostavljajući tragove svog prisustva na hard disku.

Brosard, koji je izvršni direktor i istraživač u francuskoj kompaniji Toucan System, demonstrirao je kako funkcioniše malver čiji je on autor na hakerskoj konferenciji Defcon u subotu.

Rakshasa, koji je nazvan po demonu iz hindu mitologije, nije prvi malver koji inficira BIOS, osnovni softver proizvođača matične ploče koji pokreće druge komponente hardvera. U odnosu na srodne programe on koristi neke nove trikove zbog kojih ga je teško otkriti ali i ukloniti sa računara.

Osim što zamenjuje BIOS, Rakshasa inficira i druge periferijalne uređaje ko što su mrežne krtice ili CD-ROM.

Rakshasa je nastala na open source softveru. Malver zamenjuje BIOS proizvođača kombinacijom Coreboot-a i SeaBIOS-a, alternativama koje rade na različitim matičnim pločama različitih proizvođača. On takođe prepisuje open source mrežni boot firmware iPXE na mrežnu karticu računara.

Sve ove komponente se modifikuju tako da ne prikazuju bilo šta što bi moglo odati prisustvo malvera tokom procesa boot-ovanja računara. Coreboot čak obezbeđuje prilagođene uvodne ekrane (splash screens) koji oponašaju one koje prikazuju zbog infekcije zamenjeni BIOS-i.

“Postojeća arhitektura računara daje svakom periferijalnom uređaju jednak pristup RAM memoriji (random access memory),” kaže Brosard. “CD-ROM može veoma dobro kontrolisati mrežnu karticu.”

To praktično znači da čak i ako se vrati originalni BIOS, lažni firmware koji se nalazi na mrežnoj kartici ili CD-ROMu može biti iskorišćen za ponovno flešovanje lažnog BIOS-a.

Ideja autora Rakshas malvera je da dokaže da je backdoor hardvera realna pretnja i da ona može biti ostvarena od strane bilo koga u lancu proizvođača, pre nego što se računar isporuči krajnjem korisniku. Brosard je ukazao na činjenicu da većina računara, uključujući i Mac računare, dolazi iz Kine.

Metod daljinskog napada ne bi funkcionisao u svim slučajevima jer neki PCI uređaji imaju fizički prekidač koji mora biti pomeren kako bi se flešovao novi firmware a neki BIOS-i imaju digitalne sertifikate, kaže Brosard. Napad u potpunosti funkcioniše kada postoji mogućnost fizičkog pristupa, a daljinski napad u 99% slučajeva.

iPXE firmware koji se pokreće na mrežnoj kartici je konfigurisan tako da učitava bootkit pre operativnog sistema i može inficirati računar pre pokretanja bilo kog zaštitnog softvera na računaru.

Neki poznati zlonamerni programi čuvaju kod bootkit-a u MBR (Master Boot Record) na hard disku. Takvi malveri nisu problem za stručnjake i antivirusne programe da ih otkriju i uklone sa računara.

Rakshasa je drugačiji malver jer koristi iPXE firmware za preuzimanje bootkit-a sa udaljene lokacije i njegovo učitavanje u RAM svaki put kada se računar startuje.

“Ukoliko pošaljete hard disk proizvođaču i zatražite analizu na prisustvo malvera, oni neće biti u mogućnosti da ga pronađu,” kaže Brosard.

Nakon što bootkit završi svoj posao, a to je izmena kernela, dela operativnog sistema sa najvišim privilegijama, on može biti učitavan iz memorije. To znači da čak i analiza RAM-a uživo ne bi pomogla u pronalaženju malvera.

iPXE firmware može da komunicira preko Ethernet-a, Wi-Fi ili Wimax-a i podržava različite protokole uključujući HTTP, HTTPS i FTP. To daje napadaču obilje mogućnosti.

Napadač može obezbediti ažuriranje malvera preko HTTPS konekcije i to direktnom komunikacijom sa firmware-om mrežne kartice. Serveri za komandu i kontrolu mogu se smenjivati što može otežati posao službama bezbednosti i istraživačima koji bi eventualno pokušali da preuzmu kontrolu i ugase servere.

Rakshasa malver nije dostupan javno. Međutim, s obzirom da ima komponente otvorenog koda, nije nemoguće da bi neko ko ima dovoljno znanja mogao da napravi repliku malvera. Dokumentacija sa detaljima o implementaciji malvera dostupna je na internetu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažni PDF editori u Google oglasima kriju malver TamperedChef

Lažni PDF editori u Google oglasima kriju malver TamperedChef

Istraživači iz Truesec-a i G DATA otkrili su novu kampanju sajber kriminalaca koji koriste Google oglase da bi usmerili žrtve na lažne sajtove gde... Dalje

Lažni imejlovi instaliraju malver UpCrypter na Windows računarima

Lažni imejlovi instaliraju malver UpCrypter na Windows računarima

FortiGuard Labs, istraživački tim kompanije Fortinet, otkrio je novu globalnu kampanju koja preko phishing mejlova širi malver UpCrypter. Ovaj malv... Dalje

PromptLock: era AI ransomware-a je počela

PromptLock: era AI ransomware-a je počela

Istraživači iz kompanije ESET otkrili su prvi AI ransomware, prototip nazvan PromptLock, koji koristi model Open AI za generisanje skripti koje cilj... Dalje

Posle Windowsa, ClickFix napadi i na Macu: malver Shamos krade lozinke i kripto novčanike

Posle Windowsa, ClickFix napadi i na Macu: malver Shamos krade lozinke i kripto novčanike

Iako se često misli da su Mac računari bezbedniji od Windowsa, nova kampanja koju je otkrio CrowdStrike pokazuje da su i macOS korisnici sve češć... Dalje

Lažna ChatGPT desktop aplikacija širi malver PipeMagic

Lažna ChatGPT desktop aplikacija širi malver PipeMagic

Microsoft je upozorio da se lažna verzija ChatGPT desktop aplikacije koristi za isporuku opasnog backdoora nazvanog PipeMagic, povezanog sa napadima ... Dalje

Prijatelji

besplatni programi za windows android ios linux testovi uputstva
IT Vesti
Jeftini proizvodi
Baguje.com

© 2017. SINGI Inzenjering. Sva prava zadržana. Privacy Policy

Developed by MyCity, designed by Spundo.