باحث يخلق أدلة على البرامج الضارة التي تصيب الفيروس ، بطاقات الشبكة

بروسارد ، وهو كبير المهندسين التنفيذيين ومهندس أبحاث الأمن في شركة الأمن الفرنسية Toucan System ، أظهر كيف تعمل البرامج الضارة في مؤتمر Defcon hacker يوم السبت ، بعد تقديمه أيضًا في مؤتمر Black Hat حول الخميس.

Rakshasa ، الذي سمي على اسم شيطان من الأساطير الهندوسية ، ليس أول برنامج خبيث يستهدف نظام BIOS - وهو البرنامج الثابت للوحة الأم ذو المستوى المنخفض الذي يهيئ مكونات الأجهزة الأخرى. ومع ذلك ، فإنه يميز نفسه عن التهديدات المماثلة باستخدام حيل جديدة لتحقيق الثبات والتهرب من الكشف.

[المزيد من القراءة: أفضل صناديق NAS لتدفق الوسائط والنسخ الاحتياطي]

Rakshasa يحل محل BIOS اللوحة الأم ، ولكن يمكن أن يصيب أيضًا PCI البرامج الثابتة من الأجهزة الطرفية الأخرى مثل بطاقات الشبكة أو الأقراص المضغوطة ، من أجل تحقيق درجة عالية من التكرار.

بنيت Rakshasa مع برنامج مفتوح المصدر. وهو يحل محل BIOS المزود من قبل المورد مع مجموعة من Coreboot و SeaBIOS ، وهي بدائل تعمل على مجموعة متنوعة من اللوحات الرئيسية من جهات تصنيع مختلفة ، وتكتب أيضًا برنامجًا مفتوحًا للتشغيل الشبكي مفتوح المصدر يسمى iPXE إلى بطاقة شبكة الكمبيوتر.

جميع هذه الأجهزة تم تعديل المكونات بحيث لا تعرض أي شيء يمكن أن يعطي وجودهم بعيدا أثناء عملية التمهيد. ويدعم Coreboot حتى شاشات البداية المخصصة التي يمكن أن تحاكي تلك الموجودة في BIOSes المستبدلة.

تعطي بنية الكمبيوتر الثابتة لكل جهاز طرفي وصولاً متساوياً إلى ذاكرة الوصول العشوائي (ذاكرة الوصول العشوائي) ، حسبما قال Brossard. "يمكن لمحرك الأقراص المضغوطة التحكم بشكل جيد في بطاقة الشبكة."

وهذا يعني أنه حتى لو قام شخص ما باستعادة BIOS الأصلي ، يمكن استخدام البرامج الثابتة المارقة الموجودة على بطاقة الشبكة أو القرص المضغوط لإعادة تحميل ملفات المارقة واحد ، قال Brossard.

الطريقة الوحيدة للتخلص من البرمجيات الخبيثة هي إغلاق جهاز الكمبيوتر وإعادة تحميل يدويا كل طرفية ، وهي طريقة غير عملية لمعظم المستخدمين لأنها تتطلب معدات متخصصة ومعرفة متقدمة.

Brossard إنشاء Rakshasa لإثبات أن backdooring الأجهزة عملية ويمكن أن يتم في مكان ما في سلسلة التوريد ، قبل أن يتم تسليم جهاز كمبيوتر للمستخدم النهائي. وأشار إلى أن معظم أجهزة الكمبيوتر ، بما في ذلك أجهزة ماكينتوش ، تأتي من الصين.

ومع ذلك ، إذا كان المهاجم سيحصل على امتيازات نظام على جهاز كمبيوتر من خلال عدوى برمجيات خبيثة مختلفة أو استغلال ، فيمكنهم أيضًا نظريًا تشغيل BIOS من أجل نشر Rakshasa

لن تعمل طريقة الهجوم عن بعد في جميع الحالات ، لأن بعض أجهزة PCI لها مبدل بدني يحتاج إلى نقله من أجل تحديث برنامج ثابت جديد وبعض BIOSs لها توقيعات رقمية ، على حد قول Brossard. ، لدى Coreboot القدرة على تحميل البرامج الثابتة لتمديد PCI التي لها الأسبقية قبل الكتابة المكتوبة على بطاقة الشبكة ، وبالتالي تجاوز مشكلة التبديل الفعلي.

الهجوم "يعمل تمامًا عندما يكون لديك وصول فعلي ، ولكن يعمل عن بعد فقط 99 في المئة من الوقت ، "قال Brossard.

يتم تكوين البرامج الثابتة iPXE التي تعمل على بطاقة الشبكة لتحميل التعليمة البرمجية الخبيثة bootkit التي يتم تنفيذها pior إلى نظام التشغيل ويمكن أن تصيبه قبل أن تبدأ أي منتجات أمنية

تقوم بعض البرامج الضارة المعروفة بتخزين رمز bootkit داخل سجل التمهيد الرئيسي (MBR) لمحرك الأقراص الثابتة. هذا يجعل من السهل على المتخصصين في الكمبيوتر الجنائي ومكافحة الفيروسات العثور على وإزالة.

Rakshasa يختلف لأنه يستخدم البرامج الثابتة iPXE لتحميل Bootkit من موقع بعيد وتحميله في ذاكرة الوصول العشوائي في كل مرة الكمبيوتر بالتمهيد.

وقال بروسارد "لا نلمس نظام الملفات أبدا." إذا أرسلت القرص الصلب إلى شركة واطلب منها تحليلها لبرامج ضارة ، فلن يتمكنوا من العثور عليها ،

بالإضافة إلى ذلك ، بعد أن يقوم Bootkit بوظيفته ، وهو إجراء تعديلات ضارة. من النواة - الجزء الأعلى حظا من نظام التشغيل - يمكن تفريغها من الذاكرة. وهذا يعني أن التحليل المباشر لذاكرة الوصول العشوائي للكمبيوتر لن يتمكن من العثور عليه أيضًا.

إن اكتشاف هذا النوع من التنازلات أمر صعب للغاية لأن البرامج التي تعمل داخل نظام التشغيل تحصل على معلوماتها من النواة. وقال بروسارد إن هذا البرنامج يمكن أن يزيح هذه المعلومات بشكل كبير.

يمكن للبرنامج الثابت الخاص بـ iPXE الاتصال عبر الإيثرنت أو Wi-Fi أو Wimax ويدعم مجموعة متنوعة من البروتوكولات بما في ذلك HTTP و HTTPS و FTP. وهذا يعطي المهاجمين المحتملين الكثير من الخيارات.

على سبيل المثال ، يمكن أن يقوم Rakshasa بتنزيل Bootkit من مدونة عشوائية كملف بامتداد .pdf. ويمكنه أيضًا إرسال عناوين IP ومعلومات الشبكة الأخرى الخاصة بأجهزة الكمبيوتر المصابة إلى عنوان بريد إلكتروني محدد مسبقًا.

يمكن للمهاجم دفع تحديثات التكوين أو إصدار جديد من البرامج الضارة عبر اتصال HTTPS مشفر عن طريق الاتصال المباشر مع البرامج الثابتة لبطاقة الشبكة ويمكن تدوير خادم الأوامر والتحكم بين المواقع المختلفة لتجعل من الصعب على الباحثين المكلفين بإنفاذ القانون أو الأمن إزالتها.

لم يطلق Brossard Rakshasa علنًا. ومع ذلك ، بما أن معظم مكوناته مفتوحة المصدر ، فإن شخصًا لديه ما يكفي من المعرفة والموارد يمكن أن يكررها. تتوفر ورقة بحثية تشرح تنفيذ البرامج الضارة بمزيد من التفصيل عبر الإنترنت.