badBIOS, echt of hoax? - Privacy en beveiliging

donderdag 31 oktober 2013 23:45

Acties:

0 Henk 'm!

Mijn hobby is niet werken

Topicstarter

Dit verhaal, als het echt is, doet mijn nekharen recht overeind staan. Hoewel onwaarschijnlijk lijkt het me technisch mogelijk. BIOS virussen, hoewel technisch mogelijk, zijn in de praktijk bijna onmogelijk omdat er zoveel verschillende hardware configuraties mogelijk zijn. Dit virus zijn primaire attack vector zou flash controllers op USB sticks en DVD/CD schrijvers aanvallen en overschrijven. Volgens Dragos Ruiu, die tot nu toe de enige bron van informatie over badBIOS is zou dat mogelijk zijn omdat er maar een stuk of 10 verschillende flash controlers zijn die in geheugensticks gebruikt worden.

Echt of hoax?

More on my ongoing chase of #badBIOS malware. It's been difficult to confirm this as I'm down to a precious few reference systems that are clean. I lost another one yesterday confirming that's simply plugging in a USB device from an infected system into a clean one is sufficient to infect. This was on a BSD system, so this is definitely not a Windows issue.- and it's a low level issue, I didn't even mount the volume and it was infected. Could this be an overflow in the way bios ids the drive?

Infected systems seem to reprogram the flash controllers on USB sticks (and cd drives, more on that later) to attack the system (bios?). There are only like ten different kinds of flash controllers used in all the different brands of memory sticks and all of them are reprogrammable, so writing a generic attack is totally feasible. Coincidentally the only sites I've found with flash controller reset software, are .ru sites, and seem to 404 on infected systems.

The tell is still that #badBIOS systems refuse to boot CDs (this is across all oses, including my Macs) there are other more esoteric problems with partition tables and devices on infected systems. Also USB cd drives are affected, I've bricked a few plugging and unplugging them too fast (presumably as they were being reflashed) on infected systems. Unsafely ejecting USB memory sticks has also bricked them a few times on #badBIOS systems for clean systems, though mysteriously they are "fixed" and reset by just simply replugging them into an infected system. Extracting data from infected systems is VERY tricky. Yesterday I watched as the malware modified some files on a cd I was burning to extract data from an infected system, don't know what it was yet, I have to set up a system to analyze that stuff.

On windows my current suspicion is that they use font files to get up to some nastiness, I found 246 extra ttf and 150 fon files on a cleanly installed windows 8 system, and three stand out, meiryo, meiryob, and malgunnb, that are 8mb, instead of the 7 and 4mb sizes one would expect. Unfortunately ttf files are executable and windows "previews" them... These same files are locked by trusted installer and inaccessible to users and administrators on infected systems, and here comes the wierd part, they mysteriously disappeared from the cd I tried to burn on a completely new system (a laptop that hadn't been used in a few years) that my friend brought over which had just been freshly installed with win 8.1 from msdn, with the install media checksum verified on another system.

I'm still analyzing, but I'm certain we'll ALL have a large problem here. I have more data and info I can share with folks that are interested.

Bron:
Dragos Ruiu post op Google+
en
Post op reddit/r/netsec
En hier nog meer commentaar

Of zoek op reddit naar badBIOS, het is vrij recent nieuws. Ben erg benieuwd of we er meer van gaan horen, als het al geen hoax is van de enige kerel die er iets over te vertellen heeft momenteel.

Zolang er maar één beveiliger in de wereld is die deze malware heeft ontdekt lijkt het me meer een hoax.
Als echter in de toekomst andere mensen in de IT dit tegen komen en het beginnen te onderzoeken dan heeft de digitale wereld weer een probleem er bij. Wie weet is dit gewoon weer een nieuw stuxnet dat nu voor de eerste keer ontdekt is.

Stel je voor zeg, virussen die al je firmware met succes aanvallen. Stop je een hardware besmette usb stick met Hitmanpro Kickstart in een PC om ZeroAcces te verwijderen ... heb je opeens een infectie die wel een heel stuk moeilijker is om ergens van af te krijgen.

Arstechnica heeft ook een lekker agressief en ongenuanceerd stukje geschreven

It's also possible to use high-frequency sounds broadcast over speakers to send network packets.

Welkom in de films van de 20 jaar geleden. Binnenkort op de computers van u klanten! Als u rootkits al vervelend vond dat maak u borst maar nat.

Of toch allemaal een hoax? Wanneer iets technisch mogelijk is duurt het nooit erg lang voor ... hardware besmettingen een feit zijn.

edit: Voor als nog lijkt het een grap of hoax van Dragos Ruiu te zijn.

https://news.ycombinator.com/item?id=6646936

What triggers my skepticism is
* "Ruiu said he plans to get access to expensive USB analysis hardware" -- I'm not an expert on USB, but I do believe it should be trivial to tap the traffic between a machine and such an infected stick, and compare it to what should normally be happening.
* No effort seems to have been made to capture the sound waves made by this (supposedly reproduceable) high-frequency audio networking.
* The infected bios hasn't been dumped and compared to the bios the machine was supposed to have.
* For some reason, there's no mention of other researchers getting access to or investigating infected machines and usb sticks.
These are all extremely basic steps that could be taken to make the story go from vague conjecture to actual proof (or disproof). Why weren't they taken?

[ Voor 11% gewijzigd door Kain_niaK op 01-11-2013 00:24 ]

en daar heb ik mijn beroep van gemaakt

vrijdag 1 november 2013 10:19

Acties:

0 Henk 'm!

ELD

De meeste BIOS'en zijn nu al een geruime tijd modulair. Het is vrij simpel om modules toe te voegen aan firmware. Ik heb zelf mijn EUFI "BIOS" aangepast met custom third party modules voor extra functionaliteit. De tools hiervoor zijn vrij beschikbaar.

Je kunt ook een kwaadaardige module maken die bijvoorbeeld wordt geplaatst in in de netwerk bootrom.

Dus volgens mij is dit al zeer lang een mogelijkheid.

vrijdag 1 november 2013 16:26

Acties:

0 Henk 'm!

serkoon

mekker.

Op http://blog.erratasec.com...s-features-explained.html wel een duidelijke verhandeling over de technische mogelijkheid van de zaken die Dragos noemt.

Technisch gezien is het wel allemaal mogelijk wat hij noemt, maar het blijft toch een beetje een vreemd verhaal. Waarom juist hij? Waarom geen packetdumps, geen audio-opnames, geen USB sniffer, etc?

Ik verwacht eigenlijk dat het niet zozeer een hoax is, maar dat hij bijv. op CanSecWest een mooi praatje gaat houden over een proof-of-concept die hij zelf heeft gemaakt waarin deze technieken worden toegepast..

[ Voor 10% gewijzigd door serkoon op 01-11-2013 16:27 ]

zaterdag 2 november 2013 02:26

Acties:

0 Henk 'm!

Stevie-P

Het artikel genoemd door serkoon is zeker de moeite waard.

Ik moet zeggen dat het mij iets te toevallig in de oren klonk, en na het lezen van dit betoog ben ik er nog iets zekerder van dat dit een hoax is. http://www.rootwyrm.com/2...adbios-analysis-is-wrong/

vrijdag 8 november 2013 18:45

Acties:

0 Henk 'm!

jiriw

Ik denk zelf ook dat het een hoax is maar... het idee is wel interessant. Vooral nu BIOS-sen (door EFI) zoveel groter en krachtiger geworden zijn en modulair.. de kloof met een volledig besturingssysteem wordt steeds kleiner.

Onhoorbare communicatie d.m.v. audio devices is mogelijk maar... lastig. Zonder 'gekrijs', zal de transferrate niet erg hoog zijn. En het algorithme erachter moet rekening houden met slechte speakers/mics waardoor mogelijk bepaalde frequentiegebieden niet beschikbaar zijn... Alleen zo'n stuk code zou al enorm knap zijn... en badBIOS heeft blijkbaar 'meer'.
Herprogrammeren van flash controllers op USB-sticks: Goed mogelijk met de aanname dat vergelijkbare controllers als in SSD's worden gebruikt. SSD firmware updates zijn niet onbekend.
Ook CD-Drives hebben vaak zulke controllers en vroeger heb ik nog wel eens een USB CD recorder van een flashupdate voorzien om sneller te kunnen branden. Echter, die controllers hebben vaak erg weinig ruimte beschikbaar voor firmware en de apparaten moeten natuurlijk ook nog blijven werken om geen argwaan te veroorzaken. Zo'n geavanceerd stuk code als hoe de badBIOS wordt omschreven (met alle features als netwerk access, USB exploit, de mogelijkheid firmware te kunnen flashen van een veelvoud van verschillende apparaten en audio comm, zonder afhankelijk te zijn van een host OS) zal er waarschijnlijk niet in passen. Je mag blij zijn als je een paar honderd kilobyte tot je beschikking hebt in het door de controller gebruikte flashgeheugen. Misschien is er genoeg ruimte voor de USB chipset exploitcode en netwerkdriver en wordt de rest via mogelijke netwerk connecties binnengehengeld?
Die USB exploit... dat lijkt mij nog wel het meest onwaarschijnlijke. Vroeger waren USB chipsets vrij domme dingen die voor alle communicatie van de processor afhankelijk waren. Daardoor waren ze lekker goedkoop (en traag). En zou ik niet verwachten dat ze zelfstandig acties konden ondernemen op het host systeem. Maar misschien is dat tegenwoordig anders? Ik heb even in mijn device-list gekeken en mijn USB controllers hebben allemaal wel een DMA segment.

vrijdag 8 november 2013 18:53

Acties:

0 Henk 'm!

42dpi

ლ(ಠ益ಠლ)

Lijkt mij stug gezien de ruimte die een USB of dvd drive heeft op de rom, en de chips staan niet open in breken en reflashen gaat niet binnen secondes.

Si vis pacem, para bellum

vrijdag 8 november 2013 18:57

Acties:

0 Henk 'm!

.kernel.

https://plus.google.com/u/0/103470457057356043365

De Google+ van Dragos, interessant om bij te houden, ook als je DD dumps van een 'compromised #badBIOS obsd system with variant disk sections' bijvoorbeeld wilt hebben om door te spitten

zaterdag 9 november 2013 16:15

Acties:

0 Henk 'm!

pauluss86

Mijn nieuwsgierigheid was geprikkeld na een comment bij een Tweakers nieuws artikel. De links hier gevolgd (plus nog wat zelf opgesnord) en ik ben behoorlijk sceptisch.

Het klinkt allemaal te 'mooi' om waar te zijn vanuit het oogpunt van de malware zelf. Bovendien, het lezen van alle posts op de G+ pagina van Dragos is, behalve interessant zoals .kernel. terecht stelt, ook verhelderend. Meerdere mensen die kennis van zaken tonen, sceptisch zijn maar wel constructief meedenken worden compleet genegeerd en door Dragos als 'troll' weggezet. Een simpel en goedkoop tooltje zou bv. het inzetten van een RPi zijn (geen BIOS en ARM ipv x86!) om USB verkeer en anderszins te onderscheppen.

Sommige posts zijn inderdaad wat bot. Dit is m.i. het gevolg van het niet geven van enig bewijs of ondersteunend materiaal door Dragos, die ondertussen wel allerlei claims doet. De informatie die wel wordt vrijgegeven lijkt totnutoe altijd te reduceren tot 'misschien niet helemaal zoals het zou moeten maar desondanks normaal gedrag'..

Het totaalplaatje klopt gewoonweg (nog?) niet en ik denk dat, zoals sommigen terecht suggereren, dat het tijd wordt dat Dragos een paar weekjes op vakantie gaat :-)

zondag 10 november 2013 20:48

Acties:

0 Henk 'm!

.kernel.

Er lijkt een enorme bereidheid te bestaan om Dragos te helpen. Hij staat hier alleen zelf niet echt voor open. Dit komt de zaak niet ten goede. Ik ben van mening dat badBIOS een hypothetisch verschijnsel is dat zich heeft gemanifesteerd in het brein van Dragos Ruiu en niet in de firmware of BIOS van een van zijn PC's

vrijdag 6 december 2013 13:40

Acties:

0 Henk 'm!

Baserk

Voor de geinteresseerden; researchers van het Fraunhofer Instituut hebben onderzoek gedaan naar het overbruggen van de air-gap middels audio.

Met gebruik van robuuste accoustische technieken, gebruikt in onderwater communicatie, is het ze gelukt om over een afstand van bijna 20 meter met een snelheid van 20bit/s data te versturen.
Getest met 5 Thinkpad T400 (mics en speakers en standaard Intel Corporation 82801I (ICH9 Family) HD Audio Controller)

'On Covert Acoustical Mesh Networks in Air' PDF link

Paar quotjes uit het onderzoeksrapport;

Physical access using ACS modem: The ACS modem uses JANUS [11], a robust signaling method for underwater communications. It is based on FHSS (frequency-hopping spread spectrum) with 48 carriers.
...
VIII. CONCLUSION
We have shown that the establishment of covert acoustical mesh networks in air is feasible in setups with commonly available business laptops.
By reutilizing an underwater communication system, we take advantage of a network stack that was built with robust acoustical communication in mind.
The presented approach to covert acoustical mesh networks allows to transmit messages with a rate of approximately 20 bit/s up to a range of 19.7 m between two connected nodes.
The complete path of a single frame from the infected victim at the first hop to the attacker at the last hop over two additional infected drones as intermediate hops took 18 s.

From the recorded frequency range it can be discovered that we are able to process frequencies in the low ultrasonic range around 20,000 Hz.
Previously performed tests with a Lenovo T410 Laptop featuring the Conexant 20585 audio codec (with 192 kHz DAC / 96kHz ADC) [12]have shown very similar results.
The results lead us to the conclusion that ultrasonic or near ultrasonic communication with computing systems of the Lenovo T400 series is possible.

Romanes eunt domus | AITMOAFU

vrijdag 6 december 2013 16:13

Acties:

0 Henk 'm!

Kain_niaK

Mijn hobby is niet werken

Topicstarter

Dat bevestigd dat het technisch plausibel is met consumenten laptops. In dit geval zou een spionnendienst dit kunnen gebruiken om informatie te stelen van een goed beveiligd bedrijf ... maar alleen als alle werknemers daar exact dezelfde laptop hebben. En anders moeten de spionnen misschien 6 maanden wachten voor er eindelijk een identieke laptop die ook geïnfecteerd is dicht genoeg komt bij de bedrijfslaptop waar de wifi en lan hardware onklaar gemaakt is als beveilings policy en ook usb poorten niet werken. En waar het absoluut verboden is om de laptop te verplaatsten.

Enfin ... badBIOS zoals deze onderzoeker het beschrijft lijkt er tot nu toe op te lijken dat de onderzoeker een beetje paranoïde is geworden en overal malware ziet. Tot nu toe geen enkele peer review gezien die Dragos Ruiu gelijk geeft.

en daar heb ik mijn beroep van gemaakt