Rakshasa: Nevidljiva i neizlečiva infekcija malverom

Opisi virusa, 31.07.2012, 11:36 AM

Rakshasa: Nevidljiva i neizlečiva infekcija malverom

Istraživač Džonatan Brosard autor je proof-of-concept backdoor malvera nazvanog Rakshasa koji zamenjuje BIOS (Basic Input Output System) i koji može kompromitovati operativni sistem odmah po uključivanju računara ne ostavljajući tragove svog prisustva na hard disku.

Brosard, koji je izvršni direktor i istraživač u francuskoj kompaniji Toucan System, demonstrirao je kako funkcioniše malver čiji je on autor na hakerskoj konferenciji Defcon u subotu.

Rakshasa, koji je nazvan po demonu iz hindu mitologije, nije prvi malver koji inficira BIOS, osnovni softver proizvođača matične ploče koji pokreće druge komponente hardvera. U odnosu na srodne programe on koristi neke nove trikove zbog kojih ga je teško otkriti ali i ukloniti sa računara.

Osim što zamenjuje BIOS, Rakshasa inficira i druge periferijalne uređaje ko što su mrežne krtice ili CD-ROM.

Rakshasa je nastala na open source softveru. Malver zamenjuje BIOS proizvođača kombinacijom Coreboot-a i SeaBIOS-a, alternativama koje rade na različitim matičnim pločama različitih proizvođača. On takođe prepisuje open source mrežni boot firmware iPXE na mrežnu karticu računara.

Sve ove komponente se modifikuju tako da ne prikazuju bilo šta što bi moglo odati prisustvo malvera tokom procesa boot-ovanja računara. Coreboot čak obezbeđuje prilagođene uvodne ekrane (splash screens) koji oponašaju one koje prikazuju zbog infekcije zamenjeni BIOS-i.

“Postojeća arhitektura računara daje svakom periferijalnom uređaju jednak pristup RAM memoriji (random access memory),” kaže Brosard. “CD-ROM može veoma dobro kontrolisati mrežnu karticu.”

To praktično znači da čak i ako se vrati originalni BIOS, lažni firmware koji se nalazi na mrežnoj kartici ili CD-ROMu može biti iskorišćen za ponovno flešovanje lažnog BIOS-a.

Ideja autora Rakshas malvera je da dokaže da je backdoor hardvera realna pretnja i da ona može biti ostvarena od strane bilo koga u lancu proizvođača, pre nego što se računar isporuči krajnjem korisniku. Brosard je ukazao na činjenicu da većina računara, uključujući i Mac računare, dolazi iz Kine.

Metod daljinskog napada ne bi funkcionisao u svim slučajevima jer neki PCI uređaji imaju fizički prekidač koji mora biti pomeren kako bi se flešovao novi firmware a neki BIOS-i imaju digitalne sertifikate, kaže Brosard. Napad u potpunosti funkcioniše kada postoji mogućnost fizičkog pristupa, a daljinski napad u 99% slučajeva.

iPXE firmware koji se pokreće na mrežnoj kartici je konfigurisan tako da učitava bootkit pre operativnog sistema i može inficirati računar pre pokretanja bilo kog zaštitnog softvera na računaru.

Neki poznati zlonamerni programi čuvaju kod bootkit-a u MBR (Master Boot Record) na hard disku. Takvi malveri nisu problem za stručnjake i antivirusne programe da ih otkriju i uklone sa računara.

Rakshasa je drugačiji malver jer koristi iPXE firmware za preuzimanje bootkit-a sa udaljene lokacije i njegovo učitavanje u RAM svaki put kada se računar startuje.

“Ukoliko pošaljete hard disk proizvođaču i zatražite analizu na prisustvo malvera, oni neće biti u mogućnosti da ga pronađu,” kaže Brosard.

Nakon što bootkit završi svoj posao, a to je izmena kernela, dela operativnog sistema sa najvišim privilegijama, on može biti učitavan iz memorije. To znači da čak i analiza RAM-a uživo ne bi pomogla u pronalaženju malvera.

iPXE firmware može da komunicira preko Ethernet-a, Wi-Fi ili Wimax-a i podržava različite protokole uključujući HTTP, HTTPS i FTP. To daje napadaču obilje mogućnosti.

Napadač može obezbediti ažuriranje malvera preko HTTPS konekcije i to direktnom komunikacijom sa firmware-om mrežne kartice. Serveri za komandu i kontrolu mogu se smenjivati što može otežati posao službama bezbednosti i istraživačima koji bi eventualno pokušali da preuzmu kontrolu i ugase servere.

Rakshasa malver nije dostupan javno. Međutim, s obzirom da ima komponente otvorenog koda, nije nemoguće da bi neko ko ima dovoljno znanja mogao da napravi repliku malvera. Dokumentacija sa detaljima o implementaciji malvera dostupna je na internetu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje