Trazi

Rakshasa: Nevidljiva i neizlečiva infekcija malverom

Opisi virusa, 31.07.2012, 11:36 AM

Rakshasa: Nevidljiva i neizlečiva infekcija malverom

Istraživač Džonatan Brosard autor je proof-of-concept backdoor malvera nazvanog Rakshasa koji zamenjuje BIOS (Basic Input Output System) i koji može kompromitovati operativni sistem odmah po uključivanju računara ne ostavljajući tragove svog prisustva na hard disku.

Brosard, koji je izvršni direktor i istraživač u francuskoj kompaniji Toucan System, demonstrirao je kako funkcioniše malver čiji je on autor na hakerskoj konferenciji Defcon u subotu.

Rakshasa, koji je nazvan po demonu iz hindu mitologije, nije prvi malver koji inficira BIOS, osnovni softver proizvođača matične ploče koji pokreće druge komponente hardvera. U odnosu na srodne programe on koristi neke nove trikove zbog kojih ga je teško otkriti ali i ukloniti sa računara.

Osim što zamenjuje BIOS, Rakshasa inficira i druge periferijalne uređaje ko što su mrežne krtice ili CD-ROM.

Rakshasa je nastala na open source softveru. Malver zamenjuje BIOS proizvođača kombinacijom Coreboot-a i SeaBIOS-a, alternativama koje rade na različitim matičnim pločama različitih proizvođača. On takođe prepisuje open source mrežni boot firmware iPXE na mrežnu karticu računara.

Sve ove komponente se modifikuju tako da ne prikazuju bilo šta što bi moglo odati prisustvo malvera tokom procesa boot-ovanja računara. Coreboot čak obezbeđuje prilagođene uvodne ekrane (splash screens) koji oponašaju one koje prikazuju zbog infekcije zamenjeni BIOS-i.

“Postojeća arhitektura računara daje svakom periferijalnom uređaju jednak pristup RAM memoriji (random access memory),” kaže Brosard. “CD-ROM može veoma dobro kontrolisati mrežnu karticu.”

To praktično znači da čak i ako se vrati originalni BIOS, lažni firmware koji se nalazi na mrežnoj kartici ili CD-ROMu može biti iskorišćen za ponovno flešovanje lažnog BIOS-a.

Ideja autora Rakshas malvera je da dokaže da je backdoor hardvera realna pretnja i da ona može biti ostvarena od strane bilo koga u lancu proizvođača, pre nego što se računar isporuči krajnjem korisniku. Brosard je ukazao na činjenicu da većina računara, uključujući i Mac računare, dolazi iz Kine.

Metod daljinskog napada ne bi funkcionisao u svim slučajevima jer neki PCI uređaji imaju fizički prekidač koji mora biti pomeren kako bi se flešovao novi firmware a neki BIOS-i imaju digitalne sertifikate, kaže Brosard. Napad u potpunosti funkcioniše kada postoji mogućnost fizičkog pristupa, a daljinski napad u 99% slučajeva.

iPXE firmware koji se pokreće na mrežnoj kartici je konfigurisan tako da učitava bootkit pre operativnog sistema i može inficirati računar pre pokretanja bilo kog zaštitnog softvera na računaru.

Neki poznati zlonamerni programi čuvaju kod bootkit-a u MBR (Master Boot Record) na hard disku. Takvi malveri nisu problem za stručnjake i antivirusne programe da ih otkriju i uklone sa računara.

Rakshasa je drugačiji malver jer koristi iPXE firmware za preuzimanje bootkit-a sa udaljene lokacije i njegovo učitavanje u RAM svaki put kada se računar startuje.

“Ukoliko pošaljete hard disk proizvođaču i zatražite analizu na prisustvo malvera, oni neće biti u mogućnosti da ga pronađu,” kaže Brosard.

Nakon što bootkit završi svoj posao, a to je izmena kernela, dela operativnog sistema sa najvišim privilegijama, on može biti učitavan iz memorije. To znači da čak i analiza RAM-a uživo ne bi pomogla u pronalaženju malvera.

iPXE firmware može da komunicira preko Ethernet-a, Wi-Fi ili Wimax-a i podržava različite protokole uključujući HTTP, HTTPS i FTP. To daje napadaču obilje mogućnosti.

Napadač može obezbediti ažuriranje malvera preko HTTPS konekcije i to direktnom komunikacijom sa firmware-om mrežne kartice. Serveri za komandu i kontrolu mogu se smenjivati što može otežati posao službama bezbednosti i istraživačima koji bi eventualno pokušali da preuzmu kontrolu i ugase servere.

Rakshasa malver nije dostupan javno. Međutim, s obzirom da ima komponente otvorenog koda, nije nemoguće da bi neko ko ima dovoljno znanja mogao da napravi repliku malvera. Dokumentacija sa detaljima o implementaciji malvera dostupna je na internetu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje

Novi malver koji krade lozinke širi se preko YouTube-a

Novi malver koji krade lozinke širi se preko YouTube-a

Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje

Novi malver MassJacker krije se u piratskom softveru

Novi malver MassJacker krije se u piratskom softveru

Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje

BlackLock je nova opasna ransomware banda

BlackLock je nova opasna ransomware banda

Istraživači iz kompanije za sajber bezbednost Reliaqest upozoravaju na ekstremno opasnu ransomware bandu BlackLock koja se pojavila u martu prošle ... Dalje

Prijatelji

besplatni programi za windows android ios linux testovi uputstva
IT Vesti
Jeftini proizvodi
Baguje.com

© 2017. SINGI Inzenjering. Sva prava zadržana. Privacy Policy

Developed by MyCity, designed by Spundo.