Mientras el SO se inicia…
lunes 5 de marzo de 2018
En esta edición vamos a informar sobre las infecciones informáticas no muy frecuentes. En concreto, sobre la infección de BIOS o de registros de arranque de discos duros. Empezamos por BIOS.
BIOS – es el software incrustado en la placa madre de su equipo el momento de producción. Se inicia enseguida al enchufar el equipo, y antes de iniciar el sistema operativo. En particular, BIOS proporciona e diagnóstico inicial del hardware encontrado, detecta los discos duros existentes y lee la información de los mismos antes de iniciar el SO.
Vemos el logo de BIOS antes de iniciar nuestro SO.
Los creadores de virus prestaron atención a las funciones de BIOS aún en la época de sistemas operativos DOS (MS-DOS y similares). Lo que pasa es que BIOS además contiene un código de interrumpciones– las funciones de sistema que proporcionan la interacción de bajo nivel de sistemas operativos y hardware. En particular, la interrumción de 13h se encarga de la interacción con el disco duro – lectura/grabación de la información por sectores.
La intercepción de esta interrupción (junto con otras) permitió a los malintencionados crear los así llamados virus de arranque – los que se recuperan al iniciar el SO e invisibles para el usuario.
El SO Windows no usa vectores de interrupciones BIOS (restablece a cero su tabla al iniciar y la ignora posteriormente) al arrancar sus componentes, empezando por el núclero, por esto la intercepción de interrupciones BIOS para programas nocivos ahora es menos actual. Lo único que se puede hacer por medio de interrupciones 13h es leer o volver a grabar un sector aleatorio antes de iniciar el SO..
En el año 2011, los expertos de Doctor Web detectaron un rootkit único llamado Trojan.Bioskit.1. Su peculiaridad es que el mismo infecta BIOS de equipos personales, solo si en el PC hay BIOS de la empresa Award Software. Más tarde, se detectaron los intentos de difusión de otra modificación de Trojan.Bioskit, pero por causa de errores en el código esta versión del troyano no es de amenaza importante.
Obtener acceso y volver a grabar una microesquema con BIOS no es una tarea muy trivial. Para realizarlo, primero es necesario organizar una interacción con el chipset de la placa madre para permitir acceso al chip, luego hay que reconocer el chip y aplicar un protocolo de borrar/escribir los datos conocido para el mismo. Pero el autor de este programa nocivo usó la solución más fácil asignando todas las tareas a BIOS. Usó los resultados de trabajo de un investigador chino conocido como Icelord. El trabajo fue realizado aún en el año 2007: entonces al analizar la utilidad Winflash para Award BIOS fue detectado un modo fácil de cambiar el firmware del microesquema con un servicio ofrecido por BIOS en SMM (System Management Mode). El código informático SMM en SMRAM el sistema operativo no lo ve (en caso de BIOS correcto, el mismo bloquea el acceso a esta memoria) y se ejecuta de forma autónoma.
A propósito, SMM mencionado es una cosa muy interesante. El modo de administración del sistema (inglés System Management Mode, SMM) — es un modo cuando se suspende la ejecución de otro código (incluido el código del sistema operativo) y se inicia un programa especial, en modo más privilegiado. Como siempre, este modo fue diseñado para procesar los errores de la memoria y de chipsets, así como para desactivar el procesador en caso de sobrecalentamiento. Pero también permitió esquivar los sistemas de protección incrustados en el SO e iniciar rootkits. Un código que funciona en modo SMM obtiene acceso no restringido a toda la memoria del sistema, incluida la memoria del núcleo y la memoria del hipervisor.
Rakshasa sustituye completamente BIOS del equipo, realizando la inicialización del software con los medios de Coreboot, emula la interfaz de usuario de BIOS con SeaBios, inicializa las posibilidades de la carga de red y de control remoto por canales LAN, WIFI, WIMAX, LTE con iPXE y luego carga el bootkit Kon-boot para modificar las variables del núcleo del SO Windows y Linux.
Rakshasa tiene posibilidades incrustadas de realizar los ataques siguientes:
- Cancelación de la protección SMM. La ausencia de esta protección permite iniciar un programa nocivo y suspender la ejecución de otro programa Este proceso tiene privilegios de superusuario administrador en el sistema operativo. El mismo puede modificar cualquier configuración y cualquier archivo del equipo.
- Eliminación del bit NX de BIOS – un atributo de prohibición hardware de ejecución del código en la página de la memoria. Esto permite ejecutar un código nocivo, lo cual, a su vez, permite tener administración remota del equipo, al esquivar el sistema de contraseñas del SO
- Desactivación de la randomización ASLR – una tecnología de ubicación aleatoria del código y de los datos importantes de procesos en el área de direcciones. La randomización ASLR dificulta para el atacante la ejecución del código nocivo aleatorio porque la dirección de la estructura vulnerable del proceso es desconocida para el mismo. Con ASLR desactivada se simplifica bastante el hackeo de cualquier sistema operativo.
- Obtención de contraseñas de los medios de cifrado TrueCrypt/BitLocker al suplantar el campo de introducción de la contraseña. Luego con la emulación de la entrada desde el teclado con los medios de BIOS los datos se descifran y pueden ser copiados o modificados.
- Modificación del sistema de archivos antes de iniciar el SO para activar los modos de administración remota e infección con virus.
Rakshasa:
- Tiene posibilidad de cargar los módulos autónomos o hasta las imágenes de SO enteras usando tecnologías inalámbricas WIFI y WIMAX, lo cual permite esquivar los Firewalls y comprometer toda la red informática.
- Dispone de los medios de recuperación una vez cambiado el firmware de BIOS y reinstalado el sistema operativo, usando la imagen del virus grabada anteriormente en cualquier dispositivo PCI, por ejemplo, en una tarjeta de red, un controlador SATA y hasta la placa de arranque de confianza.
- Puede superar los medios hardware del arranque de confianza, porque antes de la inicialización de los mismos se ejecuta un microprograma de la placa madre.
Un caso típico de infección con los virus Rakshasa es el acceso a la parte hardware del equipo y el inicio del virus desde un dispositivo extraíble en cuaqluier etapa de entrega de componentes. En realidad, el nuevo equipo ya puede eser comprometido.
El mundo de antivirus recomienda
Hoy día es poco probable que alguien sea víctima de programas nocivos similares a los descritos más arriba. Pero puede pasar, por ejemplo, si Vd. trabaja con los datos de interés para sus competidores. Un código nocivo puede penetrar en las áreas del sistema por os causas:
- Existencia de vulnerabilidades;
- Deseo de la empresa productora o su suministrador de ganar dinero extra, por ejemplo, al vender los datos personales de usuarios.
Por lo tanto:
- Hay que prestar atención a las actualizaciones de BIOS. Pueden no solamente corregir los errores, sino también impedir la implementación de los programas nocivos (así mismo, de los que usan el modo SMM).
- Si se puede grabar algo en algún sitio, también se puede detectarlo. No recomendamos confiar en que “el nuevo troyano no se detecta por los antivirus” si los representantes de las empresas antivirus importantes. Si los medios de comunicación informan sobre un programa nocivo, quiere decir que el mismo existe en realidad, y los clientes ya desean obtener la protección, y nadie puede pasarlo por alto.
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
vasvet
10:52:36 2018-08-07
Неуёмный Обыватель
18:11:04 2018-07-06