web-dev-qa-db-ja.com

BIOSの再フラッシュに耐えられるマルウェア

評判の高いセキュリティコンサルタントであるDragos Ruiuが報告しています 彼は神秘的なマルウェアに感染している これは、OSの再インストールとOSの再フラッシュに耐えることができます。言い換えれば、彼は感染したマシンを奪い、それをワイプし、エアギャップし、そのBIOSを再フラッシュし、そのディスクドライブを交換し、新しいOSをインストールしました-そして新しいOSを起動した後、それはまだ感染していました。

そのような感染はどのように残るのでしょうか?マルウェアはどのメカニズムを使用して、フックをマシンに保持し、BIOSの再フラッシュとOSの再インストールの両方に耐えることができますか?

もちろん、ドラゴスの謎のマルウェアが使用しているメカニズムの可能性に興味がありますが、それだけではありません。より広義には、マルウェアがディスクの消去やBIOSのフラッシュに耐えるために使用できるメカニズムにも興味があります。マルウェアはこの目的のためにどのようなスキームを使用できますか?

この質問は、感染からどのように回復するかに影響を与えます。標準的なことわざは、いったんハッキングされたら、「確実に軌道からそれを核に入れることです」ということです。つまり、ハードドライブを消去して、すべてを最初から再インストールする必要があります。おそらく、この不可解なマルウェアからの教訓は、「軌道からそれを取り除く」ことでさえ十分ではないということです。したがって、感染したマシンを既知の良好な状態に復元するために何をする必要があるかを理解するには、ハードディスクを交換してBIOSを再フラッシュした後でもマルウェアが常駐し続ける可能性があるすべての方法を理解するのに役立ちます。

背景: このページ は、ドラゴが感染した謎のマルウェアについてドラゴが報告した内容をまとめています。 Gillesからのこの優れた回答 も参照してください。

35
D.W.

BIOSを再フラッシュしてもマルウェアが根絶されないことがどのように発生するかについては、いくつかの推測を危険にさらす可能性があります。

  • 再フラッシュ操作はBIOSの制御下にあるため、感染したBIOSは再フラッシュを実行する(または直後に新しいBIOSに再感染する)ふりをするだけです。

  • マシン内の別のフラッシュ可能なファームウェアも感染し、それまたはBIOSのいずれかが再フラッシュされると、まだ感染しているファームウェアが他のファームウェアに再感染します。 [〜#〜] dma [〜#〜] を備えたデバイスはいつでもライブマシンをハイジャックできます。ファームウェアを備えたほとんどのデバイスには、タスク(GPU、ハードディスク...)。

  • ディスクのファームウェアが感染し、BIOSに再感染するブートコードに悪意のあるコードが挿入されます。 (症状と一致するかどうかはわかりませんが、それは可能性があります。)

ここでの共通のテーマは、マシンの一部が稼働している間にすべての再フラッシュが行われるため、鶏と卵が存在することです:感染したコードを実行しているマシンから(DMAの場合でも間接的に)安全に再フラッシュすることはできません独自のCPUを備えた-ableデバイス)、ただしマシンがオフの場合は、再フラッシュすることもできません。理想的には、BIOSチップをマシンから取り外し、別のデバイスから再フラッシュし(ブートしないでください(もちろん)ブートしないでください)、その後再びプラグインします。しかし、これらのチップは通常はんだ付けされています...私たちはプラグイン可能なチップを作る方法を知っています-例えばCPUにほかならないので、I/Oパフォーマンスを犠牲にすることなく実行できます。でも、メーカーのほうがはんだ付けが安いと思います。

たぶんメーカーはいくつかの [〜#〜] jtag [〜#〜] のようなポートを追加することができ、電源が入っていないボードにはんだ付けされたチップを再フラッシュすることができます(本当に電源コードが物理的に取り外された状態で電源がオフになっています。

41
Thomas Pornin

まったく信じられないようです!

レポートが正確であると想定する場合(そして、オブザーバーがドラゴスが真実であり、誤解されておらず、強制されていないという仮定を立てる資格があるかどうか確信が持てない場合)、それは3つのオプションのみにつながります。

  1. ストレージメディア(HDD、SSD、USBドライブ)が完全に消去されていない
  2. BIOSが正しくフラッシュされていない
  3. 他のコンピューターコンポーネントは、ウイルスが休眠している場所として使用されています。

少なくとも磁気メディアに関しては、#1はありそうもないことを受け入れてうれしいです。

オプション#2は、感染したシステムでフラッシュが実行されている場合に可能です(フラッシュを拒否して、成功したように見せかけることができる場合があります(?))。概念実証は、Black Hat 2013で Butterworth、Kallenberg、およびKovah [PDF] によって実証されています。

#3の概念実証 実証済み は、Black Hat 2012のBrossardによるもので、おそらく上記の非常にまれなシナリオの中で最ももっともらしいものです。提供されたリンクを簡単に読んでも、この角度がドラゴスによって検討されたことを示しているようには見えません。

セキュリティ研究者のJonathan Brossardが、コンピュータのBIOS(基本入出力システム)に代わる概念実証ハードウェアバックドアを作成しました。ハードドライブに痕跡を残さずに、起動時にオペレーティングシステムを危険にさらす可能性があります。

フランスのセキュリティ企業Toucan SystemのCEOでセキュリティ調査エンジニアであるBrossardは、木曜日のブラックハットセキュリティカンファレンスでマルウェアを発表した後、土曜日のDefconハッカーカンファレンスでマルウェアがどのように機能するかを示しました。 ...ラクシャサはマザーボードのBIOSを置き換えますが、高度な冗長性を実現するために、ネットワークカードやCD-ROMなどの他の周辺機器のPCIファームウェアにも感染する可能性があります。

したがって、価値の高いターゲットに対して行う最善のことは、既知の良好なメディアから既知の良好なハードウェアに再構築することだと思います!最近のハードウェアは安価で、特に上記の高価値のターゲットにとっては、それほど悪くはありません。

2
scuzzy-delta

ハードドライブのコンテンツが適切に削除されたかどうかは、質問からはわかりません。 OSを再インストールしても、ドライブが完全に消去されたとは限りません。ドライブが感染したコンピュータから引き抜かれ、交換されたか、別のマシンで適切に消去された場合、マルウェアがまだ存在している可能性を無視することはもっともらしいことです。ファームウェアとBIOSマルウェアは、狭い標的型攻撃や概念実証以外ではほとんど役に立ちません。

0
user94592