Началось все в начале сентября с опубликованного, китайской антивирусной компанией 360 Security, сообщения в блог о найденной вредоносной программе, которая осуществляет модификацию прошивки BIOS. Это сообщение не особо было замечено общественностью, быть может, ввиду того, что было опубликовано на китайском или из-за небольшого количества читателей самого блога. Но на прошлой неделе появилось уже сразу две публикации на английском:
- Mebromi, a bios-flashing trojan (Norman)
- BIOS threat is showing up again! (Symantec)
Первая мало информативна, т.к. автор в основном рассуждает о былых временах и концептах ушедших лет, разбавляя это не очень интересными картинками. А вот второй пост от Symantec более содержателен и описывает некоторые подробности работы.
Итак, нами данная угроза обнаруживается, как Win32/Wapomi (VT). Собственно Win32/Wapomi состоит из нескольких частей, которые извлекаются из секции ресурсов дропера (используется примитивная обфускация в виде xor):
- bios.sys - драйвер, который собственно осуществляет взаимодействие с микропрограммой BIOS и ее модификацию
- flash.dll - системный сервис (fileprt), который осуществляет загрузку драйвера
- my.sys - руткит драйвер, который скрывает модифицированную MBR
- cbrom.exe - стандартная утилита Phoenix для модификации и упаковки микропрограмм
- hook.rom - собственно модифицированная прошивка
Сценария работы тоже два, первый, когда BIOS может быть модифицирован, второй соответственно, когда нет. Заражение осуществляется при наличии Award BIOS, иначе происходит только модификация MBR. Никаких выдающихся технологий среди используемых Win32/Wapomi замечено не было, ну разве что факт модификации BIOS. Все остальное довольно стандартно. Полезной нагрузкой являются модифицированный winlogon.exe/wininit.exe в процессе выполнения буткит-части, который производит скачивание и запуск с удаленного сервера файла calc.exe:
hxxp://dh.3515.info:806/test/calc.exe
hxxp://dh.3515.info:806/test/91/calc.exe
В случае с Win32/Wapomi интересна не сама угроза, а факт используемых ею технологий. Реализация буткит-части с использованием модификации микропрограммы BIOS, довольно интересный способ обхода обнаружения защитным ПО. По сути в случае успешного заражения, вредоносный код может контролировать загрузку на самом раннем этапе и вносить в нее свои коррективы. Конечно, для такого рода модификаций нужны административные привилегии, но как показывает практика неискушенного пользователя не так сложно ввести в заблуждение. Ну что же, видимо впереди нас ждет много всего интересного ;)
Реверсил эту штуку, не понравилась.
ОтветитьУдалитьСобранная по кускам из старых публичных PoC-ов (втч. и заражение BIOS).
Он переписывает BIOS или добавляет в него свой модуль? И как ведет себя на материнках с DualBios?
ОтветитьУдалитьto Сr4sh: Ага, мне тоже не понравилась. Но сам вектор еще себя не исчерпал и думаю с приходом UEFI станет еще более актуален. Антивирусы для BIOS на подходе :)
ОтветитьУдалитьto Валентин: Модифицируется полностью микропрограмма, а на DualBios не тестил.
> с приходом UEFI
ОтветитьУдалитьНе скоро будет :)
Ему уже сколько лет -- а поддержка (без необходимости что-то перепрошивать и патчить) есть только в материнских платах от Intel и эппловском железе.
Да и те вендоры, которые начинают его внедрять, трактуют стандарт как хотят. В общем, есть вероятность, что будет примерно так же ситуация, что и с биосом: в общих чертах похоже, но детали реализации -- vendor-specified.