Rakshasa: Nevidljiva i neizlečiva infekcija malverom

Opisi virusa, 31.07.2012, 11:36 AM

Istraživač Džonatan Brosard autor je proof-of-concept backdoor malvera nazvanog Rakshasa koji zamenjuje BIOS (Basic Input Output System) i koji može kompromitovati operativni sistem odmah po uključivanju računara ne ostavljajući tragove svog prisustva na hard disku.

Brosard, koji je izvršni direktor i istraživač u francuskoj kompaniji Toucan System, demonstrirao je kako funkcioniše malver čiji je on autor na hakerskoj konferenciji Defcon u subotu.

Rakshasa, koji je nazvan po demonu iz hindu mitologije, nije prvi malver koji inficira BIOS, osnovni softver proizvođača matične ploče koji pokreće druge komponente hardvera. U odnosu na srodne programe on koristi neke nove trikove zbog kojih ga je teško otkriti ali i ukloniti sa računara.

Osim što zamenjuje BIOS, Rakshasa inficira i druge periferijalne uređaje ko što su mrežne krtice ili CD-ROM.

Rakshasa je nastala na open source softveru. Malver zamenjuje BIOS proizvođača kombinacijom Coreboot-a i SeaBIOS-a, alternativama koje rade na različitim matičnim pločama različitih proizvođača. On takođe prepisuje open source mrežni boot firmware iPXE na mrežnu karticu računara.

Sve ove komponente se modifikuju tako da ne prikazuju bilo šta što bi moglo odati prisustvo malvera tokom procesa boot-ovanja računara. Coreboot čak obezbeđuje prilagođene uvodne ekrane (splash screens) koji oponašaju one koje prikazuju zbog infekcije zamenjeni BIOS-i.

“Postojeća arhitektura računara daje svakom periferijalnom uređaju jednak pristup RAM memoriji (random access memory),” kaže Brosard. “CD-ROM može veoma dobro kontrolisati mrežnu karticu.”

To praktično znači da čak i ako se vrati originalni BIOS, lažni firmware koji se nalazi na mrežnoj kartici ili CD-ROMu može biti iskorišćen za ponovno flešovanje lažnog BIOS-a.

Ideja autora Rakshas malvera je da dokaže da je backdoor hardvera realna pretnja i da ona može biti ostvarena od strane bilo koga u lancu proizvođača, pre nego što se računar isporuči krajnjem korisniku. Brosard je ukazao na činjenicu da većina računara, uključujući i Mac računare, dolazi iz Kine.

Metod daljinskog napada ne bi funkcionisao u svim slučajevima jer neki PCI uređaji imaju fizički prekidač koji mora biti pomeren kako bi se flešovao novi firmware a neki BIOS-i imaju digitalne sertifikate, kaže Brosard. Napad u potpunosti funkcioniše kada postoji mogućnost fizičkog pristupa, a daljinski napad u 99% slučajeva.

iPXE firmware koji se pokreće na mrežnoj kartici je konfigurisan tako da učitava bootkit pre operativnog sistema i može inficirati računar pre pokretanja bilo kog zaštitnog softvera na računaru.

Neki poznati zlonamerni programi čuvaju kod bootkit-a u MBR (Master Boot Record) na hard disku. Takvi malveri nisu problem za stručnjake i antivirusne programe da ih otkriju i uklone sa računara.

Rakshasa je drugačiji malver jer koristi iPXE firmware za preuzimanje bootkit-a sa udaljene lokacije i njegovo učitavanje u RAM svaki put kada se računar startuje.

“Ukoliko pošaljete hard disk proizvođaču i zatražite analizu na prisustvo malvera, oni neće biti u mogućnosti da ga pronađu,” kaže Brosard.

Nakon što bootkit završi svoj posao, a to je izmena kernela, dela operativnog sistema sa najvišim privilegijama, on može biti učitavan iz memorije. To znači da čak i analiza RAM-a uživo ne bi pomogla u pronalaženju malvera.

iPXE firmware može da komunicira preko Ethernet-a, Wi-Fi ili Wimax-a i podržava različite protokole uključujući HTTP, HTTPS i FTP. To daje napadaču obilje mogućnosti.

Napadač može obezbediti ažuriranje malvera preko HTTPS konekcije i to direktnom komunikacijom sa firmware-om mrežne kartice. Serveri za komandu i kontrolu mogu se smenjivati što može otežati posao službama bezbednosti i istraživačima koji bi eventualno pokušali da preuzmu kontrolu i ugase servere.

Rakshasa malver nije dostupan javno. Međutim, s obzirom da ima komponente otvorenog koda, nije nemoguće da bi neko ko ima dovoljno znanja mogao da napravi repliku malvera. Dokumentacija sa detaljima o implementaciji malvera dostupna je na internetu.