BadBIOS, el misterioso software malicioso que infecta a los PC y Mac
by noticiasdeabajoPor Dan Goodin, 31 de octubre de 2013
Ars Technica
Hace tres años, el consultor de seguridad informática Dragos Ruiu trabajaba en su laboratorio cuando se dio cuenta de que estaba ocurriendo algo inusual: su ordenador MacBook Air, en el que acababa de instalar una nueva copia del sistema operativo OS X, actualizó de forma espontánea el firmware que ayuda en el arranque. Más extraño aún, cuando Ruiu trató después de arrancar su máquina con un CD-ROM no pudo. También descubrió que el ordenador borraba datos y deshacía cambios de configuración sin solicitar la confirmación. Él no lo sabía entonces, pero aquella actualización del firmware había infectado la máquina con un malware de alto riesgo que consumiría la mayor parte de sus horas de trabajo.
En los meses siguientes, Ruiu observó otros fenómenos extraños que parecían salidos directamente de una película de ciencia-ficción. El sistema operativo Open BSD también comenzó a modificar su configuración y a borrar datos sin solicitar la confirmación. Su red transmitía datos específicos a través del protocolo IPv6 de nueva generación, aunque estuviese esta funcionalidad deshabilitada. Lo más extraño de todo fue la capacidad de los equipos infectados de transmitir pequeñas cantidades de datos a otras máquinas infectadas, y eso aún cuando los cables de alimentación y los cables Ethernet estaban desconectados y las tarjetas Wi-fi deshabilitadas. Una investigación adicional demostró que los sistemas operativos que se podían infectar también incluía a múltiples variantes de Linux y de Windows.
“Teníamos que borrar todos nuestros sistemas operativos y empezar de nuevo, lo cual hicimos. Es una tarea ardua. Y he mostrado mis dudas sobre todo este asunto”, dijo Ruiu a Ars.
En estos tres años, dijo Ruiu, las infecciones se han mantenido, algo parecido a una bacteria que se hace resistente a los tratamientos con antibióticos. En cuestión de horas, después de dedicar semanas a limpiar un ordenador infectado, el extraño comportamiento volvía a repetirse. El signo más visible de que la máquina está infectada es su incapacidad para arrancar desde un CD, pero también se observan otros comportamientos más sutiles cuando se utilizan herramientas como el Monitor de Procesos, que está diseñado para la resolución de problemas y análisis forenses.
Otra característica interesante: además de saltar las protecciones de una red de ordenadores que se aíslan del resto de equipos de la red (airgap), el malware parece tener la capacidad de autocurarse.
“Teníamos un ordenador aislado de la red con su BIOS inalterable, el disco con el sistema operativo recién instalado y sin datos en él, a partir de un CD-ROM de Windows. Nos pusimos a editar algunos de sus componentes y el editor de registro consiguió deshabilitarlos. ¿Cómo puede suceder esto? ¿Cómo puede reaccionar la máquina y atacar el software que estábamos usando para atacar? Se trataba de una máquina aislada de la red, en la que de repente el editor de registro dejó de funcionar cuando lo estábamos usando en la búsqueda de las llaves”, dijo Ruiu.
En las últimas semanas, Ruiu ha informado de sus investigaciones a través de Twiter, Facebook y Google Plus, para de esta manera compartir una teoría que ha captado la atención de expertos de seguridad de todo el mundo. Ruiu cree que el malware se transmite a través de las unidades USB, infectando en los niveles más bajos del hardware del equipo. Con la capacidad de infectar la BIOS, y Unified Extensible Firmware Interface (UEFI), este software malicioso puede atacar una amplia variedad de plataformas, escapar a las formas más comunes de detección y a la mayoría de los intentos por erradicarlo.
Por si todo esto no resultase extraño ya de por sí, todavía queda más. En estos tres artículos, aquí, aquí y aquí, Ruiu concibe otra teoría que suena al guión de una película: badBIOS sería capaz de utilizar las altas frecuencias de los altavoces del ordenador y del micrófono para salvar las protecciones del ordenador (airgap).
Persisten las amenazas informáticas
He estado informándome de toda esta cuestión y llegó a parecerme una leyenda urbana, algo así al avistamiento de un Bigfoot. En efecto, Ruiu ha admitido que otros compañeros expertos en seguridad han investigado, pero ninguno de ellos ha dado por bueno su proceso o las conclusiones provisionales ( Unas recopilación de las observaciones de Ruiu se pueden encontrar aquí).
También resulta inexplicable por qué Ruiu iba a ser el objetivo de un ataque tan avanzado y exótico. Como profesional de la seguridad, organizador de las internacionalmente reconocidas conferencias CanSecWest y PacSec, y el fundador de la competición Hacking Pwn2Own, puede tener sin duda su atractivo para el espionaje patrocinado por el Estado y aquellos hackers que están motivados por el dinero. Pero no es objetivo más atractivo que otros cientos o miles de sus compañeros, que hasta el momento no han informado de estos fenómenos extraños que han afectado a los ordenadores y redes de Ruiu.
En contraste con el escepticismo, algo normal en la cultura de seguridad y la piratería informática, los compañeros de Ruiu han respondido con una profunda preocupación e incluso se han sentido fascinados por badBIOS.
“Todos los expertos en seguridad tienen que seguir a @dragosr y ver sus análisis de #badBIOS, dijo en Twiter Alex Stamos, uno de los investigadores de seguridad más confiables y sobrios. Jeff Moss, fundados de Defcon y las conferencias de Seguridad Blackhat, que en 2009 comenzó a asesorar a la Secretaria del Departamento de Seguridad Nacional, Janet Napolitano, en materia de seguridad informática, dijo: “No es una broma, esto va en serio”. Otros muchos dicen lo mismo.
“Dragos es sin duda una persona en la que se puede confiar, y nunca he pensado en una actuación deshonesta suya”, dijo el investigador en seguridad Arrigo Triulzi a Ars. “Nada de lo que él describe es ciencia-ficción, considerado individualmente, pero nunca he visto algo parecido”.
Estuvo allí, lo hizo
Triulzi dijo que ha visto en el laboratorio muchos programas maliciosos que tenían como objetivo el firmware. Un cliente suyo tuvo infectado la BIOS UEFI de su ordenador portátil Mac, en lo que formaba parte de un experimento. Hace cinco años, el propio Triulzi desarrolló un concepto de malware que infectaba sigilosamente los controladores de la interfaz de red, que se conectan a la placa base del PC y es donde se inserta la toma Ethernet para conseguir el acceso del equipo a la red. John Heasman demostró como infectar malware difícil de detectar, tales como un rootkit, en los componentes periféricos de un ordenador, las conexiones desarrolladas por Intel para integrar los dispositivos hardware en la CPU.
También es posible utilizar los sonidos de alta frecuencia emitidos por los altavoces para enviar paquetes de red. Los primeros estándares de red utilizaron esta técnica, dijo el experto en seguridad Rob Graham. La gestión de redes ultrasónicas también son el objetivo de una gran cantidad de investigaciones, incluyendo a científicos del MIT.
Por supuesto, una cosa es observarlo en el laboratorio por parte de los investigadores, demostrar que es viable infectar el firmware por rootkits o por técnicas de redes de alta frecuencia, pero como sugiere Triulzi, otra cosa completamente diferente es fusionar perfectamente ambas cosas y utilizarlas como un arma en el mundo real contra un experto en seguridad. Es más, el uso de la memoria USB para infectar una amplia variedad de plataformas informáticas a nivel de la BIOS, ya se encontraba en el gusano Stuxnet, que Estados Unidos empleó para interrumpir el programa nuclear de Irán. Y la capacidad de badBIOS para saltarse los sistema de protección de un ordenador dentro de una red tiene paralelismos con Flame, otro engendro patrocinado por el Estado, que se transmitía por la señales de radio de los dispositivos Bluetooth que utilizan para comunicarse con los dispositivos que no están conectados a Internet.
“En realidad, todo lo que dice Drago entra dentro de lo factible y al alcance de mucha gente”, dijo Graham, director general de pruebas de penetración en la empresa Errata Security. “Podría, si tuviera tiempo, desarrollar un malware que infectase la BIOS al estilo de lo que dice Dragos sobre badBIOS. Comunicarse a través de las ondas de alta frecuencia entre ordenadores es fácil, muy fácil”.
En coincidencia, los periódicos italianos informaban que esta semana los espías rusos trataron de controlar a los asistentes a la cumbre económica del G-20 regalándoles tarjetas de memoria USB para interceptar las comunicaciones.
Eureka
Durante los tres años que lleva Ruiu luchando contra badBIOS, el mecanismo de infección sigue siendo un misterio. Hace unos meses, después de comprar un equipo nuevo, se dio cuenta de que resultó infectado casi de forma inmediata nada más conectar sus dispositivos USB en el mismo. Así surgió la teoría de que los ordenadores infectados tienen la capacidad de contaminar los dispositivos USB y viceversa.
“En estos momentos tengo la sospecha de que se produce algún tipo de desbordamiento del búfer cuando la BIOS accede al dispositivo, reprogramando el controlador flash para desbordar la BIOS y luego agregar una sección a la BIOS”, explicó.
Todavía no se sabe si una memoria USB fue el detonante de la infección inicial de su MacBook Air hace tres años, o si los dispositivos USB se infectaron después de conectarlas a las máquinas infectadas, que según dijo son entre una y dos docenas. Ha sido capaz de identificar una variedad de dispositivos USB que infectan a cualquier computadora a la que se conecten. En la Conferencia de PacSec del mes que viene, Ruiu dijo que planea tener acceso a un costoso análisis del hardware USB y así obtener pistas de los mecanismos de infección.
Dijo que sospecha que badBIOS es sólo un módulo inicial de una carga útil multiorganizada, que tiene la capacidad de infectar a los sistemas operativos Windows, Mac OS X, BSD y Linux.
“Obtiene algo de la red o del mismo llavero USB que causó la infección”, teorizó. “Esta es una conjetura de por qué no se puede arrancar desde un CD. Está tratando, por así decirlo, de mantenerse unido a la máquina. No quiere arrancar otro sistema operativo que no tenga el código”.
Para decirlo de otra manera, “badBIOS es sólo la punta del iceberg, por así decirlo”.
Las investigaciones continúan
Ruiu dijo que llegó a la teoría sobre la capacidad de utilizar la red de alta frecuencia por parte de badBIOS después de observar que paquetes cifrados de datos eran enviados desde un ordenador portátil infectado que no tenía conexión con la red, pero estaba muy cerca de otro equipo infectado por badBIOS. Los paquetes se transmiten incluso cuando el portátil no tiene conexión Wi-Fi y han sido desconectadas las tarjetas Bluetooh. Ruiu también desconectó el cable de alimentación de la máquina, por lo que sólo funcionaba la batería, para descartar la posibilidad de que se estuviesen recibiendo señales a través de la red eléctrica. Incluso así, las herramientas forenses mostraron que los paquetes seguían enviándose sobre la máquina aislada de la red (airgap). Entonces, Ruiu retiró el altavoz interno y el micrófono conectado a la máquina, y de repente cesó el envío de paquetes.
Cuando los altavoces y el micrófono estaban en funcionamiento, Ruiu comprobó que el ordenador aislado de la red usaba la conexión de alta frecuencia para mantener la integridad de la infección badBIOS mientras trabajaba en desmontar los componentes del software malicioso”.
“La máquina aislada de la red actúa como si estuviera conectada a Internet. La mayoría de los problemas que teníamos es que estábamos deshabilitando componentes del sistema, desactivando algunas cosas. Pero se recomponían de inmediato. Era extraño”.
Es demasiado pronto para decir que lo que Ruiu ha observado sea un rootkit transmitido por los dispositivos USB, que puede esconderse en los niveles más bajos de una computadora y usarlos como punto de partida para infectar una amplia variedad de sistemas operativos con malware que no puede ser detectado. Es aún más difícil saber a ciencia cierta si los sistemas infectados utilizan sonidos de alta frecuencia para comunicarse con las máquinas aisladas de la red. Pero después de casi dos semanas de discusión, casi nadie ha sido capaz de descartas estos inquietantes escenarios.
“Parece que en materia de intrusión se ha avanzado mucho más de lo que pensaba”, dijo Ruiu en una entrevista. “Lo que ocurre es que muchos de nuestros sistemas forenses son débiles cuando se enfrentan a retos como éste. Muchas empresas tienen que tener mucho cuidado cuando analizan los datos forenses frente a atacantes tan sofisticados”.
Fuente: http://arstechnica.com/security/2013/10/meet-badbios-the-mysterious-mac-and-pc-malware-that-jumps-airgaps/
http://noticiasdeabajo.wordpress.com/2013/11/03/badbios-el-misterioso-software-malicioso-que-infecta-a-los-pc-y-mac/
Meet “badBIOS,” the mysterious Mac and PC malware that jumps airgaps
Like a super strain of bacteria, the rootkit plaguing Dragos Ruiu is omnipotent.
by Dan Goodin - Oct 31 2013, 11:07am -0300Three years ago, security consultant Dragos Ruiu was in his lab when he noticed something highly unusual: his MacBook Air, on which he had just installed a fresh copy of OS X, spontaneously updated the firmware that helps it boot. Stranger still, when Ruiu then tried to boot the machine off a CD ROM, it refused. He also found that the machine could delete data and undo configuration changes with no prompting. He didn't know it then, but that odd firmware update would become a high-stakes malware mystery that would consume most of his waking hours.
In the following months, Ruiu observed more odd phenomena that seemed straight out of a science-fiction thriller. A computer running the Open BSD operating system also began to modify its settings and delete its data without explanation or prompting. His network transmitted data specific to the Internet's next-generation IPv6 networking protocol, even from computers that were supposed to have IPv6 completely disabled. Strangest of all was the ability of infected machines to transmit small amounts of network data with other infected machines even when their power cords and Ethernet cables were unplugged and their Wi-Fi and Bluetooth cards were removed. Further investigation soon showed that the list of affected operating systems also included multiple variants of Windows and Linux.
"We were like, 'Okay, we're totally owned,'" Ruiu told Ars. "'We have to erase all our systems and start from scratch,' which we did. It was a very painful exercise. I've been suspicious of stuff around here ever since."
In the intervening three years, Ruiu said, the infections have persisted, almost like a strain of bacteria that's able to survive extreme antibiotic therapies. Within hours or weeks of wiping an infected computer clean, the odd behavior would return. The most visible sign of contamination is a machine's inability to boot off a CD, but other, more subtle behaviors can be observed when using tools such as Process Monitor, which is designed for troubleshooting and forensic investigations.
Another intriguing characteristic: in addition to jumping "airgaps" designed to isolate infected or sensitive machines from all other networked computers, the malware seems to have self-healing capabilities.
"We had an air-gapped computer that just had its [firmware] BIOS reflashed, a fresh disk drive installed, and zero data on it, installed from a Windows system CD," Ruiu said. "At one point, we were editing some of the components and our registry editor got disabled. It was like: wait a minute, how can that happen? How can the machine react and attack the software that we're using to attack it? This is an air-gapped machine and all of a sudden the search function in the registry editor stopped working when we were using it to search for their keys."
Over the past two weeks, Ruiu has taken to Twitter, Facebook, and Google Plus to document his investigative odyssey and share a theory that has captured the attention of some of the world's foremost security experts. The malware, Ruiu believes, is transmitted though USB drives to infect the lowest levels of computer hardware. With the ability to target a computer's Basic Input/Output System (BIOS), Unified Extensible Firmware Interface (UEFI), and possibly other firmware standards, the malware can attack a wide variety of platforms, escape common forms of detection, and survive most attempts to eradicate it.
But the story gets stranger still. In posts here, here, and here, Ruiu posited another theory that sounds like something from the screenplay of a post-apocalyptic movie: "badBIOS," as Ruiu dubbed the malware, has the ability to use high-frequency transmissions passed between computer speakers and microphones to bridge airgaps.
Bigfoot in the age of the advanced persistent threat
At times as I've reported this story, its outline has struck me as the stuff of urban legend, the advanced persistent threat equivalent of a Bigfoot sighting. Indeed, Ruiu has conceded that while several fellow security experts have assisted his investigation, none has peer reviewed his process or the tentative findings that he's beginning to draw. (A compilation of Ruiu's observations is here.)Also unexplained is why Ruiu would be on the receiving end of such an advanced and exotic attack. As a security professional, the organizer of the internationally renowned CanSecWest and PacSec conferences, and the founder of the Pwn2Own hacking competition, he is no doubt an attractive target to state-sponsored spies and financially motivated hackers. But he's no more attractive a target than hundreds or thousands of his peers, who have so far not reported the kind of odd phenomena that has afflicted Ruiu's computers and networks.
In contrast to the skepticism that's common in the security and hacking cultures, Ruiu's peers have mostly responded with deep-seated concern and even fascination to his dispatches about badBIOS.
"Everybody in security needs to follow @dragosr and watch his analysis of #badBIOS," Alex Stamos, one of the more trusted and sober security researchers, wrote in a tweet last week. Jeff Moss—the founder of the Defcon and Blackhat security conferences who in 2009 began advising Department of Homeland Security Secretary Janet Napolitano on matters of computer security—retweeted the statement and added: "No joke it's really serious." Plenty of others agree.
"Dragos is definitely one of the good reliable guys, and I have never ever even remotely thought him dishonest," security researcher Arrigo Triulzi told Ars. "Nothing of what he describes is science fiction taken individually, but we have not seen it in the wild ever."
Been there, done that
Triulzi said he's seen plenty of firmware-targeting malware in the laboratory. A client of his once infected the UEFI-based BIOS of his Mac laptop as part of an experiment. Five years ago, Triulzi himself developed proof-of-concept malware that stealthily infected the network interface controllers that sit on a computer motherboard and provide the Ethernet jack that connects the machine to a network. His research built off of work by John Heasman that demonstrated how to plant hard-to-detect malware known as a rootkit in a computer's peripheral component interconnect, the Intel-developed connection that attaches hardware devices to a CPU.It's also possible to use high-frequency sounds broadcast over speakers to send network packets. Early networking standards used the technique, said security expert Rob Graham. Ultrasonic-based networking is also the subject of a great deal of research, including this project by scientists at MIT.
Of course, it's one thing for researchers in the lab to demonstrate viable firmware-infecting rootkits and ultra high-frequency networking techniques. But as Triulzi suggested, it's another thing entirely to seamlessly fuse the two together and use the weapon in the real world against a seasoned security consultant. What's more, use of a USB stick to infect an array of computer platforms at the BIOS level rivals the payload delivery system found in the state-sponsored Stuxnet worm unleashed to disrupt Iran's nuclear program. And the reported ability of badBIOS to bridge airgaps also has parallels to Flame, another state-sponsored piece of malware that used Bluetooth radio signals to communicate with devices not connected to the Internet.
"Really, everything Dragos reports is something that's easily within the capabilities of a lot of people," said Graham, who is CEO of penetration testing firm Errata Security. "I could, if I spent a year, write a BIOS that does everything Dragos said badBIOS is doing. To communicate over ultrahigh frequency sound waves between computers is really, really easy."
Coincidentally, Italian newspapers this week reported that Russian spies attempted to monitor attendees of last month's G20 economic summit by giving them memory sticks and recharging cables programmed to intercept their communications.
Eureka
For most of the three years that Ruiu has been wrestling with badBIOS, its infection mechanism remained a mystery. A month or two ago, after buying a new computer, he noticed that it was almost immediately infected as soon as he plugged one of his USB drives into it. He soon theorized that infected computers have the ability to contaminate USB devices and vice versa."The suspicion right now is there's some kind of buffer overflow in the way the BIOS is reading the drive itself, and they're reprogramming the flash controller to overflow the BIOS and then adding a section to the BIOS table," he explained.
He still doesn't know if a USB stick was the initial infection trigger for his MacBook Air three years ago, or if the USB devices were infected only after they came into contact with his compromised machines, which he said now number between one and two dozen. He said he has been able to identify a variety of USB sticks that infect any computer they are plugged into. At next month's PacSec conference, Ruiu said he plans to get access to expensive USB analysis hardware that he hopes will provide new clues behind the infection mechanism.
He said he suspects badBIOS is only the initial module of a multi-staged payload that has the ability to infect the Windows, Mac OS X, BSD, and Linux operating systems.
"It's going out over the network to get something or it's going out to the USB key that it was infected from," he theorized. "That's also the conjecture of why it's not booting CDs. It's trying to keep its claws, as it were, on the machine. It doesn't want you to boot another OS it might not have code for."
To put it another way, he said, badBIOS "is the tip of the warhead, as it were."
“Things kept getting fixed”
Ruiu said he arrived at the theory about badBIOS's high-frequency networking capability after observing encrypted data packets being sent to and from an infected laptop that had no obvious network connection with—but was in close proximity to—another badBIOS-infected computer. The packets were transmitted even when the laptop had its Wi-Fi and Bluetooth cards removed. Ruiu also disconnected the machine's power cord so it ran only on battery to rule out the possibility that it was receiving signals over the electrical connection. Even then, forensic tools showed the packets continued to flow over the airgapped machine. Then, when Ruiu removed the internal speaker and microphone connected to the airgapped machine, the packets suddenly stopped.With the speakers and mic intact, Ruiu said, the isolated computer seemed to be using the high-frequency connection to maintain the integrity of the badBIOS infection as he worked to dismantle software components the malware relied on.
"The airgapped machine is acting like it's connected to the Internet," he said. "Most of the problems we were having is we were slightly disabling bits of the components of the system. It would not let us disable some things. Things kept getting fixed automatically as soon as we tried to break them. It was weird."
It's too early to say with confidence that what Ruiu has been observing is a USB-transmitted rootkit that can burrow into a computer's lowest levels and use it as a jumping off point to infect a variety of operating systems with malware that can't be detected. It's even harder to know for sure that infected systems are using high-frequency sounds to communicate with isolated machines. But after almost two weeks of online discussion, no one has been able to rule out these troubling scenarios, either.
"It looks like the state of the art in intrusion stuff is a lot more advanced than we assumed it was," Ruiu concluded in an interview. "The take-away from this is a lot of our forensic procedures are weak when faced with challenges like this. A lot of companies have to take a lot more care when they use forensic data if they're faced with sophisticated attackers."
Fuente: http://arstechnica.com/security/2013/10/meet-badbios-the-mysterious-mac-and-pc-malware-that-jumps-airgaps/
No hay comentarios:
Publicar un comentario