Mysterieuze BIOS-malware kan zich via USB-stick verspreiden
De nog altijd mysterieuze malware die de BIOS van computers en laptops kan infecteren blijkt zich via USB-sticks te kunnen verspreiden. Twee weken geleden sloeg beveiligingsonderzoeker Dragos Ruiu, de bedenker van de bekende Pwn2Own-hackerwedstrijden, alarm over een onbekende BIOS-malware.
De BIOS (Basic Input/output System) is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die draait bij het opstarten. Een aanval op de BIOS kan vergaande gevolgen hebben en is lastig door bijvoorbeeld een virusscanner op de desktop te detecteren.
De malware die Ruiu had ontdekt bleek de BIOS permanent te infecteren en kon het zogeheten flashen van de BIOS, waarbij er een update wordt geïnstalleerd, overleven. Daarnaast beschikt de malware over een BIOS-hypervisor, ook wel een virtual machine monitor (VMM) genoemd waarin een Virtual Machine wordt gedraaid, en Software Defined Radio (SDR)-functionaliteit om 'air gaps' te overbruggen. Ruiu zegt dat hij de malware op Dell Alienware, Thinkpads en Sony-laptops heeft aangetroffen.
USB-stick
De onderzoeker heeft nu ontdekt dat deze BIOS-malware zich ook via USB-sticks kan verspreiden. Het aansluiten van een USB-stick van een besmet systeem op een schoon systeem is voldoende om het schone systeem te infecteren. "Dit was op een BSD-systeem, dus het is zeker geen Windowsprobleem", aldus Ruiu in een bericht op Google Plus. Hij merkt op dat de USB-stick niet eens gemount was om het systeem toch te infecteren.
Volgens Ruiu lijkt het erop dat een besmet systeem de flash-controller op de USB-sticks herprogrammeert om zo het systeem en mogelijk ook de BIOS aan te vallen. Het onderzoek wordt bemoeilijkt doordat het zeer lastig is om gegevens van een besmet systeem te halen, laat de onderzoeker verder weten.
Vooralsnog lijkt het erop dat de malware op Windows allerlei fontbestanden gebruikt. Ruiu trof allerlei extra ttf- en fon-bestanden op een besmet Windowssysteem aan, waarbij er drie opvallen, namelijk meiryo, meiryob en malgunnb. "Ik ben nog steeds met de analyse bezig, maar ik weet zeker dat we ALLEMAAL een groot probleem hebben", concludeert Ruiu.
Wat ik veel interessanter is dat is dat het kennelijk mogelijk is een USB controller code te laten uitvoeren door er
een stick op aan te sluiten. Dat moet wel haast met opzet ingebouwde functionaliteit zijn. Iets voor testen, of voor
het booten van diskless toepassingen ofzo. Of voor veiligheidsdiensten dan wel opsporingsinstanties.
Het is wachten op meer details, mysterieus blijft het.
Ook al kan dit een biosflash overleven, steek je toch gewoon een nieuwe chip.
Met enig geluk is de betreffende chip niet gesoldeerd maar los te halen, zodat de chip te vervangen is (door een identieke chip met het juiste BIOS erop uiteraard), maar in veel gevallen zal de chip wél gesoldeerd zijn. (Hoe zit dat met de nieuwere generaties borden? Zit de BIOS-chip daarop gesoldeerd, of worden borden met verwisselbare chips aangeboden?)
Het lossolderen van de chip en het solderen van de vervangende chip is een karweitje waar beslist niet iedereen de handigheid voor heeft. Het steken van een nieuwe chip lijkt me daarom beslist niet zo 'gewoon'.
Wat ik veel interessanter is dat is dat het kennelijk mogelijk is een USB controller code te laten uitvoeren door er
een stick op aan te sluiten. Dat moet wel haast met opzet ingebouwde functionaliteit zijn. Iets voor testen, of voor
het booten van diskless toepassingen ofzo. Of voor veiligheidsdiensten dan wel opsporingsinstanties.
Ergens op z'n twitter zag ik dat het zou gaan om hoog frequent audio.
Technisch wellicht mogelijk voor een min of meer room-sized ad hoc netwerk, maar nog steeds bepaald niet off the shelf.
Voorlopig hebben we heel veel claims en buzzwords van de onderzoeker, en heel weinig meer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.