Des logiciels malveillants qui peuvent survivre au re-flash du BIOS
Le consultant en sécurité très respecté Dragos Ruiu rapporte qu'il a été infecté par de mystérieux logiciels malveillants qui peut survivre à la réinstallation du système d'exploitation et au re-clignotement du système d'exploitation. En d'autres termes, il a pris une machine infectée, l'a essuyée, l'aérée, a reflasher son BIOS, a remplacé son lecteur de disque, a installé un nouveau système d'exploitation - et après le démarrage du nouveau système d'exploitation, il était toujours infecté.
Comment une telle infection pourrait-elle persister? Quels mécanismes les logiciels malveillants pourraient-ils utiliser pour conserver ses crochets dans une machine et survivre à la fois au re-flashage du BIOS et à la réinstallation du système d'exploitation?
Je suis bien sûr intéressé par les possibilités de mécanisme utilisé par le mystérieux malware de Dragos, mais ne nous arrêtons pas là. Plus largement, je suis également intéressé par les mécanismes que les logiciels malveillants pourraient utiliser pour survivre à l'effacement du disque et au flash du BIOS. Quels programmes les logiciels malveillants pourraient-ils utiliser à cette fin?
Cette question a des implications sur la façon dont nous nous remettons d'une infection. Un dicton standard est que, une fois que vous avez été piraté, "La seule façon d'être sûr est de le neutraliser de l'orbite" - en d'autres termes, vous devez essuyer le disque dur et réinstaller tout à partir de zéro. Peut-être que la leçon à tirer de ce mystérieux malware est que même "le faire disparaître de l'orbite" n'est pas suffisant. Donc, pour comprendre ce que nous devons faire pour restaurer une machine infectée dans un état connu, il serait utile de comprendre toutes les façons dont les logiciels malveillants peuvent rester résidents même après avoir remplacé le disque dur et re-flashé le BIOS.
Plus d'informations: cette page résume ce que Dragos a rapporté à propos du mystérieux malware avec lequel il a été infecté. Voir aussi cette réponse exceptionnelle de Gilles .
Quant à la façon dont il peut arriver que le reflash du BIOS n'élimine pas le malware, nous pouvons hasarder quelques suppositions:
L'opération de reflash est sous le contrôle du BIOS, donc le BIOS infecté ne fait que faire le reflash (ou réinfecte le nouveau BIOS immédiatement après).
Un autre micrologiciel flashable dans la machine est également infecté, et lorsque lui ou le BIOS est reflasher, le micrologiciel encore infecté réinfecte l'autre. Tout appareil avec DMA peut détourner la machine en direct à tout moment, et la plupart des appareils avec un firmware ont un CPU intégré qui serait à la hauteur (GPU, disques durs ...).
Le micrologiciel du disque est infecté et insère du code malveillant dans le code de démarrage qui réinfecte le BIOS. (Je ne suis pas sûr que cela corresponde aux symptômes, mais c'est une possibilité.)
Le thème commun ici est que tout le reflash est effectué pendant qu'une partie de la machine est en direct, donc il y a un poulet et des œufs: vous ne pouvez pas reflasher en toute sécurité à partir d'une machine qui exécute du code infecté (même indirectement, dans le cas d'un DMA compatible avec son propre processeur), mais si la machine est éteinte, vous ne pouvez pas non plus reflasher. Idéalement, la puce du BIOS devrait être retirée de la machine, reflasher d'un autre périphérique ( sans le démarrer, bien sûr), puis rebranchée. Mais ces puces sont généralement soudées ... Nous savons comment fabriquer des puces enfichables - par exemple nul autre que le CPU, il est donc possible sans tuer les performances d'E/S. Mais j'imagine que la soudure est moins chère pour le fabricant.
Peut-être que les fabricants pourraient ajouter JTAG - comme des ports qui permettraient de reflasher une puce soudée dans une carte hors tension ( vraiment hors tension, avec le cordon d'alimentation physiquement retiré).
Semble complètement invraisemblable!
Si nous supposons que les rapports sont exacts (et je ne suis pas sûr que nous, les observateurs, soyons qualifiés pour supposer que Dragos est véridique, ne se trompe pas et n'est pas contraint?), Cela ne mène qu'à trois options:
- Les supports de stockage (disque dur, SSD, clé USB) ne sont pas complètement effacés
- Le BIOS n'est pas correctement flashé
- D'autres composants informatiques sont utilisés comme réservoir où le virus est dormant
Je suis heureux d'accepter que le n ° 1 est peu probable, du moins pour les supports magnétiques.
L'option n ° 2 peut être possible si le flash est effectué sur le système infecté (qui peut (?) Être en mesure de rejeter le flash et de donner l'illusion du succès). La preuve de concept a été démontrée au Black Hat 2013 par Butterworth, Kallenberg et Kovah [PDF] .
La preuve de concept de # 3 a été démontrée par Brossard à Black Hat 2012, et est peut-être le plus plausible des scénarios déjà assez rares ci-dessus. Une lecture rapide des liens fournis ne semble pas montrer que cet angle a été pris en compte par Dragos.
Le chercheur en sécurité Jonathan Brossard a créé une porte dérobée matérielle de preuve de concept appelée Rakshasa qui remplace le BIOS d'un ordinateur (Basic Input Output System) et peut compromettre le système d'exploitation au démarrage sans laisser de traces sur le disque dur.
Brossard, qui est PDG et ingénieur de recherche en sécurité au sein de la société de sécurité française Toucan System, a démontré le fonctionnement du malware lors de la conférence des pirates de Defcon samedi, après l'avoir également présenté lors de la conférence sur la sécurité de Black Hat jeudi. ... Rakshasa remplace le BIOS de la carte mère, mais peut également infecter le micrologiciel PCI d'autres périphériques comme les cartes réseau ou les CD-ROM, afin d'atteindre un haut degré de redondance.
Je suppose donc que la meilleure chose à faire pour les cibles de grande valeur est de reconstruire à partir de bons supports connus sur du bon matériel connu! Pas aussi mauvais que cela puisse paraître, car de nos jours le matériel est bon marché, en particulier pour les cibles à forte valeur ajoutée.
Votre question ne permet pas de savoir si le contenu du disque dur a été correctement supprimé. La réinstallation du système d'exploitation ne garantit certainement pas que le lecteur a été effacé. Si le lecteur a été retiré de l'ordinateur infecté et remplacé ou correctement effacé sur une autre machine, il serait plausible d'ignorer la possibilité que des logiciels malveillants y soient toujours présents. Les micrologiciels et les logiciels malveillants du BIOS ont peu d'utilité en dehors d'une attaque ciblée étroite ou d'une preuve de concepts.