Rakshasa: Nevidljiva i neizlečiva infekcija malverom

Opisi virusa, 31.07.2012, 11:36 AM

Rakshasa: Nevidljiva i neizlečiva infekcija malverom

Istraživač Džonatan Brosard autor je proof-of-concept backdoor malvera nazvanog Rakshasa koji zamenjuje BIOS (Basic Input Output System) i koji može kompromitovati operativni sistem odmah po uključivanju računara ne ostavljajući tragove svog prisustva na hard disku.

Brosard, koji je izvršni direktor i istraživač u francuskoj kompaniji Toucan System, demonstrirao je kako funkcioniše malver čiji je on autor na hakerskoj konferenciji Defcon u subotu.

Rakshasa, koji je nazvan po demonu iz hindu mitologije, nije prvi malver koji inficira BIOS, osnovni softver proizvođača matične ploče koji pokreće druge komponente hardvera. U odnosu na srodne programe on koristi neke nove trikove zbog kojih ga je teško otkriti ali i ukloniti sa računara.

Osim što zamenjuje BIOS, Rakshasa inficira i druge periferijalne uređaje ko što su mrežne krtice ili CD-ROM.

Rakshasa je nastala na open source softveru. Malver zamenjuje BIOS proizvođača kombinacijom Coreboot-a i SeaBIOS-a, alternativama koje rade na različitim matičnim pločama različitih proizvođača. On takođe prepisuje open source mrežni boot firmware iPXE na mrežnu karticu računara.

Sve ove komponente se modifikuju tako da ne prikazuju bilo šta što bi moglo odati prisustvo malvera tokom procesa boot-ovanja računara. Coreboot čak obezbeđuje prilagođene uvodne ekrane (splash screens) koji oponašaju one koje prikazuju zbog infekcije zamenjeni BIOS-i.

“Postojeća arhitektura računara daje svakom periferijalnom uređaju jednak pristup RAM memoriji (random access memory),” kaže Brosard. “CD-ROM može veoma dobro kontrolisati mrežnu karticu.”

To praktično znači da čak i ako se vrati originalni BIOS, lažni firmware koji se nalazi na mrežnoj kartici ili CD-ROMu može biti iskorišćen za ponovno flešovanje lažnog BIOS-a.

Ideja autora Rakshas malvera je da dokaže da je backdoor hardvera realna pretnja i da ona može biti ostvarena od strane bilo koga u lancu proizvođača, pre nego što se računar isporuči krajnjem korisniku. Brosard je ukazao na činjenicu da većina računara, uključujući i Mac računare, dolazi iz Kine.

Metod daljinskog napada ne bi funkcionisao u svim slučajevima jer neki PCI uređaji imaju fizički prekidač koji mora biti pomeren kako bi se flešovao novi firmware a neki BIOS-i imaju digitalne sertifikate, kaže Brosard. Napad u potpunosti funkcioniše kada postoji mogućnost fizičkog pristupa, a daljinski napad u 99% slučajeva.

iPXE firmware koji se pokreće na mrežnoj kartici je konfigurisan tako da učitava bootkit pre operativnog sistema i može inficirati računar pre pokretanja bilo kog zaštitnog softvera na računaru.

Neki poznati zlonamerni programi čuvaju kod bootkit-a u MBR (Master Boot Record) na hard disku. Takvi malveri nisu problem za stručnjake i antivirusne programe da ih otkriju i uklone sa računara.

Rakshasa je drugačiji malver jer koristi iPXE firmware za preuzimanje bootkit-a sa udaljene lokacije i njegovo učitavanje u RAM svaki put kada se računar startuje.

“Ukoliko pošaljete hard disk proizvođaču i zatražite analizu na prisustvo malvera, oni neće biti u mogućnosti da ga pronađu,” kaže Brosard.

Nakon što bootkit završi svoj posao, a to je izmena kernela, dela operativnog sistema sa najvišim privilegijama, on može biti učitavan iz memorije. To znači da čak i analiza RAM-a uživo ne bi pomogla u pronalaženju malvera.

iPXE firmware može da komunicira preko Ethernet-a, Wi-Fi ili Wimax-a i podržava različite protokole uključujući HTTP, HTTPS i FTP. To daje napadaču obilje mogućnosti.

Napadač može obezbediti ažuriranje malvera preko HTTPS konekcije i to direktnom komunikacijom sa firmware-om mrežne kartice. Serveri za komandu i kontrolu mogu se smenjivati što može otežati posao službama bezbednosti i istraživačima koji bi eventualno pokušali da preuzmu kontrolu i ugase servere.

Rakshasa malver nije dostupan javno. Međutim, s obzirom da ima komponente otvorenog koda, nije nemoguće da bi neko ko ima dovoljno znanja mogao da napravi repliku malvera. Dokumentacija sa detaljima o implementaciji malvera dostupna je na internetu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje

Novi opasni ransomware briše sadržaj fajlova na uređajima

Novi opasni ransomware briše sadržaj fajlova na uređajima

Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje

Malver Acreed: nova zvezda na crnom sajber-tržištu

Malver Acreed: nova zvezda na crnom sajber-tržištu

Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje