web-dev-qa-db-ja.com

Mebromi BIOSフラッシュルートキットは、パーソナルコンピュータ用のAPTがここにあることを意味しますか?

Mebromi BIOSファームウェアウイルス/ MBRルートキット の最近の発見により、私たちは実際にパーソナルコンピューター向けのAdvanced Persistent Threats(APT)の時代にあり、それは最後のマルウェアソリューションを意味します20年は時代遅れですか?

APT用語は、Stuxnetのような状態レベルの攻撃や、RSA SecureID、Sony PS Network、最近のPKI CAの侵害などの協同組合を揺さぶるイベントに関連して、しばらくの間投げ出されてきました。この発見は、これらのイベントとは異なるようです。

これらの高価値のターゲットイベントはすべて、被害者の評判を保護するためにAPT攻撃を防御層またはそのストーリーに侵入するために必要でした。これらの高価値のターゲットとは異なり、Mebromiウイルスは設計されています前世代のWindows OSを実行しているAward BIOSを備えた平凡なPCに対抗するために使用されます。採用されているテクノロジーは個別に見られ、理論的な論文で議論されています。このフォーラムでは、過去数回のファームウェアフラッシュ攻撃の理論と現実の性質について議論しました。ビデオカードファームウェアの持続的な攻撃に関連して数か月かかります。一般的なユーザーシステムの実行可能なゼロデイAPTがここで議論され、宣言されていることを考慮する時期ですか?その場合、検索、パッチ、すすぎ、および繰り返しを再評価する時期でもありません。マルウェア対策の方法?

9
zedman9991

まず、APTはエクスプロイト、ルートキットなどではなく、攻撃者とその背後にある組織を指します。

とはいえ、BIOSとファームウェアの攻撃はしばらく前から存在しています。ここでの唯一の変化は、あらゆる種類の攻撃が通過するものと同じです。

これは検索、パッチなどのアプローチを変更しませんが、侵害されたマシンがOSだけでなくファームウェアおよびハードウェアレベルでのクリーニングを必要とする可能性があることを意味します。

11
Rory Alsop

とはいえ、BIOSとファームウェアの攻撃はしばらく前から存在しています。ここでの唯一の変更点は、どのクラスの攻撃も通過するものと同じです。それらは商品化されています。

これは検索、パッチなどのアプローチを変更しませんが、それは完全に約束されたマシンがOSだけでなくファームウェアとハ​​ードウェアレベルでのクリーニングを必要とする可能性があることを意味します。

敬遠します。私は数年前に前世代のBIOSフラッシュマルウェアに遭遇しましたが、それらには原則として実際の変化はありませんでした。再インストールする前に、BIOSまたは感染したファームウェアをフラッシュし、ディスクを低レベルで消去するだけで済みました。

対照的に、私は長年フォレンジックの経験を持つSRシステム管理者として、プラットフォームに依存しないファームウェア/ GPUベースの準仮想化ハイパーバイザーの最新世代によって完全に台無しにされ、恥をかかされ、私のショーを実行しました。私が経験から得ることができる唯一の慰めは、基本的に捨てるか、または販売しなければならないという犠牲を払っています(私の警告の後でそれを取るのに十分な無茶苦茶だった人に提供されたもののために)4デスクトップコンピューター、やや老朽化したSBSサーバー、および接続されているすべての周辺機器...私は過去数か月にわたって、自分のゲームを数段階飛躍させて、何が起こっているのかを首尾一貫した意味で理解する必要がありました。

ただし、私の指摘は、この新しいクラスのマルウェアが私たちに要求する、戦略/アプローチの根本的な再考があることです。なぜなら、ファームウェアで簡単にクリーニングプロセスを開始し、そこから上に進むことができないからです。 Mebromi、さらに悪いことに、今流行しているRakshaksha/TDL4ファームウェアバリアントには、私のような感染が含まれています。これは、感染した非常に小さなコア胚芽のコピーを、接続されているすべての周辺ファームウェアに効果的にフラッシュするように見えます。 BIOS自体は、仮想化されているように見えます。 CoreBootとSeaBIOSがその下で実行されています。このマルウェアには、16ビットDOS、Linux、Windows、およびBSD用のドライバーがあり、同様にBIOS UIからフラッシュすると、仮想化されたBIOSがフラッシュされます。ただし、適切なビンイメージを使用したハードウェアブラインドフラッシュは機能しているように見えました。しかし、次の投稿でカーソルが約1分間そこに置かれ、数回のキャリッジリターンが後で行われ、システムが再起動し、正規のBIOSが再びCoreBoot/SeaBios&ハイパーバイザーに戻りました。 GPUはそれをフラッシュしました。私はプロセスを繰り返しました。 GPUを取り外しても、オンボードビデオは同じことを行いました。そして、再起動する前に、GPUとBIOSを同じ再起動サイクルで何らかの方法でクリーンアップしてFlash GPUとBIOSをフラッシュできた場合(GPUのフラッシュに使用していたマシンに無意識のうちに感染させることなく)... HDDのいずれかでファームウェアを検出します。オプティカルドライブ、NIC、さらにはルーターのROMでさえ、感染を短期間で再導入します。私はsysinternalsフォーラムのスレッドで他の何人かと同じバリアントに出会い、1人または2人の投稿者が最初に信じられないほど出会い、1人1人がスレッドを見つけてその経験を裏付けました。そのような2つのポスターには、すべてのPCI ROMにBIOSとブートセクターのコード/データさえありました。私が集めたものから、現在のテクノロジーとペースの速いマルウェア除去/検出/防御製品と実践は、badguysの6〜18か月遅れています。この種の感染を除去するための経済的または実用的な方法はなく、システムが触れたすべての非揮発性書き込み可能メモリを備えたすべてのものを取り除き、それらを互いに分離してすべてフラッシュしてから、再統合する方法はないようです。または、同じリブートサイクルでそれらをすべてフラッシュする。

私はこの感染を何とかして無意識のうちにIPhoneに感染させ、1週間後、私には気付かれずに、友人のラップトップ用のWi-Fi経由で私の携帯インターネット接続にテザリングアクセスするためのパーソナルホットスポットを設置しました。 10分後、彼のシステムは不安定になり、再起動しましたが、すぐに自分のマシンに感染の特徴が見られるようになりました。後で、私が作業している別のマシンが、認識しているMACアドレスへのアクティブなBluetooth接続に奇妙な接続があったことを発見しました。スマートフォンをポケットから引き出し、設定でBluetoothがオフになっていることを確認しましたが、それでもこのマシンが何らかの方法で自動ペアリングしていた、iPhoneの非常に無効にされたBlueToothアダプターのMACアドレスであることを確認しました。そのユーザーのコンピューターも置き換える必要がありました。一方、他の2台のマシンの場合は、理由がはっきりしていません。ルートキットをなんとかして壁に入れ、C&Cに接続したり、追加のパッケージを(iSCSIと=経由で)正常にダウンロードしたりできなかったようです。 BITSとりわけ)GPU ROM /システムメモリファイルシステムに展開しているように見えます。これは、再解析する前に1〜2秒程度キャッチすることがあります。

ええと...私たちは業界としてこれらのことへの取り組み方を再評価する必要があると思います。従来の戦術は基本的に何ヶ月もの生産性を殺し、あなた自身の正気に疑問を投げかけるまであなたを連れて行くので、何が確実に起こっているのか、どの推論が不安定であるか、間違ったブランチにあなたを導くでしょうか...何かが間違いなく非常に間違っていることを知るよりもはるかに重要ですが、ROM/BIOSを物理的に削除して評価するのではなく、処理対象を正確に判断できません。

4
Bobby Nikkhah