Данное вредоносное ПО заражает аппаратное обеспечение компьютеров на уровне флеш-прошивок. Вредонос умеет перепрошивать системный BIOS и очень гибко сопротивляется уничтожению, размещая свои фрагменты не только в микрокодах прошивок, но и в служебных разделах жесткого диска. Даже после заливания в память BIOS законной прошивки вместе с полной зачисткой диска, BadBIOS все равно вновь обнаруживается в системе.

Вредонос BadBIOS имеет свой собственный гипервизор или «монитор виртуальных машин». То есть программу, которая позволяет запустить одновременно несколько операционных систем на одном и том же компьютере. Гипервизор обеспечивает изоляцию ОС друг от друга и разделение ресурсов машины между различными запущенными ОС. Фактически гипервизор сам по себе является минимальной операционной системой.

--> Статья целиком <--

P.S. С нетерпением ждем-с комментов от гуру форума

| Сообщение посчитали полезным:

Эм, разве класс программ, прописывающих себя в бивис и служебные сектора, появился вчера?

fire4x пишет:
С нетерпением ждем-с комментов от гуру форума

комментов о чем?

| Сообщение посчитали полезным:

Gideon Vi пишет:
комментов о чем?

Может сталкивался кто по жизни...

Круто же - флешку вставил (даже пустую) и хана компутеру

| Сообщение посчитали полезным:

Имхо не реально реализовать. Слишком разные версии прошивок. Ну а во вторыхъ даже на моей бородатой машинке не получится изменить биос - для этого нужно на плате джампера переставлять.

Даже если принять возможно полноценной перешивки, то что делать дальше ?
Никто не может нормально с ядром работать, будет детект примитивнейшим сравнением(патчи, оные конченый рку детектит даже).

Так что затея на данный момент бесперспективная.

| Сообщение посчитали полезным:

fire4x

> Круто же - флешку вставил (даже пустую) и хана компутеру

Разрабы не такие тупые. На сколько понимаю влеш делится на EPROM и ROM. Базовую невозможно перешить и загрузка выполняется с него в случае фейла. Хотя я не вникал в подробности. Эти технологии интересны сугубо как гипотетические, реально же реализация по мой му не возможна. Проще школьного троя запилить и профита больше будет. Один из ста, а не один из миллионов

| Сообщение посчитали полезным:

Я читал оригинальную статью и не нашел в ней главного - дампов зараженных BIOS или тела вируса выделенного с флешки. Зато нашел кучу "странных симптомов", половина из которых могла почудиться, а вторая половина объясняется чем-нибудь другим. Автору незачет.

Dr0p пишет:
даже на моей бородатой машинке не получится изменить биос - для этого нужно на плате джампера переставлять
Это должно быть очень бородатая машина, выпущенная сразу после эпидемии винчих. Сейчас давно используются SPI флешки, у которых управление чисто программное, нет отдельных ножек с сигналом на запись. Защита от записи делается через конфигурацию регистров южного моста чипсета, либо через SMM IoTrap. Механизмы программной прошивки весьма разнообразны, самый простой и универсальный флешер - внешний программатор.


Dr0p пишет:
На сколько понимаю влеш делится на EPROM и ROM
На современных системах флеш делится на регионы, доступ к которым устанавливается через configuration block загружаемых южным мостом при старте, еще до запуска процессора. Можно лочить регионы не только на запись, но и на чтение, например таким способом защищен АНБшный бекдор (Intel vPro) присутствующий на всех современных компах, он не читается и не убирается программным флешером.

Мое мнение как человека ковырявшего BIOS: руткиты туда могут попадать только путем встраивания на заводе / поставщиком. Они могут быть изначально встроенными производителем мамки или загружаться с официального сайта через программы автообновления. Такое будут применять в целевых атаках, массовые заражения крайне маловероятны. Либо оно встроено везде и всегда по-умолчанию, как Intel vPro, зловредный функционал скрывают под благими намерениями и применяют тоже очень выборочно, чтобы не спалиться.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным: fire4x, Dr0p, DenCoder

ntldr, а где можно почитать подробности о его функционале (Intel vPro)?
И возможно методы выпиливания?

-----
AutoIt

| Сообщение посчитали полезным:

http://habrahabr.ru/company/intel/blog/138377/

| Сообщение посчитали полезным: SReg

БадБИОС, вПро, эт все фигня. Вот на моем ноутбуке вирус живет вне какой-либо памяти. Ни на диске ни в прошивках его не найти. Как такое возможно? Я сам не верил, но через 3 года исследований понял где он прячется! Он живет в виде остаточного заряда в элементах материнской платы и дорожках эти элементы соединяющих! Таким образом вирус получает управление сразу после подачи питания еще задолго до загрузки биос. Сдампить его нельзя (ведь неоткуда же!), но получить куски вируса можно "считывая" тот самый остаточный заряд, но логику работы вируса я за 3 года так и не понял, потому что не смог собрать куски в единое целое. Передается вирус по электромагнитным волнам и умеет инфицировать абсолютно любые устройства от смартфона до утюга. Единственное условие - инфицируемое устройство должно быть не дальше 500 метров от зараженного прибора.

Кто пишет статьи на хабр или хакер - идею нового мега вируса дарю бесплатно, то есть даром. Жгите есче

| Сообщение посчитали полезным:

OLEGator пишет:
а где можно почитать подробности о его функционале (Intel vPro)?
Об официальном функционале - на сайте Intel, о неофициальном нигде, всё очень хорошо спрятано и исходники прошивок Intel Management Engine не дает даже производителям материнских плат. Всё что нужно для самого крутого троянского функционала, присутствует везде по-умолчанию, и простыми способами не отключается.

OLEGator пишет:
И возможно методы выпиливания?
Хочу написать как будет время. Хотите попробовать - сразу ищите хардварный программатор. С ноутбуками можно даже не пытаться.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Windows 8 разве не работает в прямом контакте с биос материнке? а Microsoft OA 3.0 система защиты от пиратства вообще в наглую прописывает в биос материнки(современной материнки со встроенной флешь биос) свой ключь, так что вполне возможно что тема относится к среде Wiser 8,лучше б подняли тему протроянивания модема-роутера(на ядре линупса) эта тема куда интересней

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

И без того озадаченный своими открытиями Руйу однажды обнаружил, что обмен зашифрованными пакетами между двумя его машинами неслышно для человека происходит в ультразвуковом диапазоне — через динамики и микрофоны ноутбуков.
...
Среди очень гибких коммуникационных возможностей BadBIOS выявлены способности коммуникаций через «что-то типа SDR» (программно задаваемое радио) — для организации моста связи через «воздушный зазор» (airgap). Как результат, BadBIOS способен дистанционно передавать/принимать информацию даже в тех ситуациях, когда от компьютера отсоединены кабели сети и питания, а карты беспроводной сетевой связи и Bluetooth физически удалены из системы.


Журналюги, такие журналюги.

| Сообщение посчитали полезным:

ClockMan

Линус это решето. В нт вы вручную(автоматических инструментов нет, даже у мс) не сможите найти уязвимость. Я уже много лет ковыряю ядро и шадов(win32k.sys), но я так и не нашёл не корректную валидацию аргументов етц. Этот код можно назвать кошерным. Линус же дырявый, я смотрел один раз хэндлер сисколов. Просто он мало кому интересен из за обфускации, там в коде такой ппц.. сурсы понять сложнее, чем нтешный код, прошедший через самый навороченный обфускатор/морфер. Нужно было посмореть как то реализацию ISA DMA, как контроллер закодить, так там в сурсах что либо понять для меня не реально(из за обфускации). Есно кому нужно в этом крапе копаться.

| Сообщение посчитали полезным:

user_

> Вот на моем ноутбуке вирус живет вне какой-либо памяти.

Значит он вне оси, если это вообще возможно(есть смм мод, но потыкав маны я понял что в нём нет ничего инетресного). Ну а вне оси он сделать ничего не может. Биос, буткиты это всё способы запуститься до старта оси. А далее идёт тривиальная работа с ней. Старт может не детектится, но работа с осью будет детектиься полюбэ. Есть конечно методы, типо SIDE, но они очень сложны для реализации и нигде небыло полноценных реализаций. Виртуализация - тоже не вариант. Рутковской методы так и остались сугубо теорией.

| Сообщение посчитали полезным:

ClockMan

> Windows 8 разве не работает в прямом контакте с биос материнке?

Только ntvdm. Биос нужен для запуска первичного загрузчика. После перехода в прот мод биос можно вообще вынуть из панельки".

| Сообщение посчитали полезным:

ClockMan пишет:
Microsoft OA 3.0 система защиты от пиратства вообще в наглую прописывает в биос материнки(современной материнки со встроенной флешь биос) свой ключ
SLIC прописывает не windows, а поставщик компьютера. Windows его только читает через ACPI Tables.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr пишет:
Хочу написать как будет время.
Будет интересно почитать (чисто в образовательных целях).

На данный момент у меня нет такой необходимости, но если паранойя припрёт, то как вариант можно использовать старое железо уровня Pentium 4

-----
AutoIt

| Сообщение посчитали полезным:

работающие варианты существуют, инфа сотка. правда, работают в идеальных условиях)

ntldr пишет:
На современных системах флеш делится на регионы, доступ к которым устанавливается через configuration block загружаемых южным мостом при старте, еще до запуска процессора. Можно лочить регионы не только на запись, но и на чтение, например таким способом защищен АНБшный бекдор (Intel vPro) присутствующий на всех современных компах, он не читается и не убирается программным флешером.


Очевидно, вы про EFI

А разве шьется все не одним сплошным ROM-ом? Эксперименты показывают, что это так, и можно прошить любой регион. Конечно, если шиться стандартным прошивальщиком - да, он посмотрит заголовок капсулы, посчитает чек-суммы, проверит подписи и прочее и откажется шить. Но делать так никто не будет.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Dr0p пишет:
Имхо не реально реализовать. Слишком разные версии прошивок. Ну а во вторыхъ даже на моей бородатой машинке не получится изменить биос - для этого нужно на плате джампера переставлять.

Даже если принять возможно полноценной перешивки, то что делать дальше ?
Никто не может нормально с ядром работать, будет детект примитивнейшим сравнением(патчи, оные конченый рку детектит даже).

А вы слышали про гипервизоры, SMM, или считаете, что нулевым кольцом все и заканчивается? Даже если направить свой взор на SecureBoot, нужно учитывать, что существует еще и -1, и -2-е "кольца", а кроме этого - южный мост, который вообще плевал с высокой колокольни на всё, что ниже)

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler пишет:
а кроме этого - южный мост

ну уж его-то то кроме завода врятли кто заюзает.

| Сообщение посчитали полезным:

Crawler пишет:
Очевидно, вы про EFI
Да, я про новые мамки, которые все UEFI.

Crawler пишет:
А разве шьется все не одним сплошным ROM-ом?
Уже нет. Разделение флеша на регионы уже поддерживается аппаратно, и есть аппаратная защита. Биты защиты задаются в конфигурационной области флеша, сама конфигурационная область тоже может лочиться. На старых старых матерях встречалась защита от записи через SMM, когда нужно шить посредвом SMM handler'а, а прямой доступ к SPI интерфейсу заблокирован им же. Всё это во многих случаях можно проэксплойтить, но сложно и неуниверсально, проще поставить микросхему на панельку и шить программатором.

PS: конфигурационный регион располагается в начальной области флеша, он содержит в себе параметры флешки (тип, размер, биты поддержки dual io, запрещенные команды), адреса других регионов (bios region, me region, gbe region, ...), настройки системных шин и регистров PCH, лок-биты определяющие доступ к регионам флеш со стороны CPU, ME и GBE (можно запрещать чтение, запись, и глобально запрещать отдельные команды). Этот регион считывается и применяется чипсетом аппаратно, без участия CPU, до его запуска.
Разблокировать регионы можно зашив официальную прошивку в которой забыли что-нибудь залочить, либо найдя дыру в конфигурации (незакрытые вендор-специфичные команды записи для конкретной флешки, забыли залочить сам конфигурационный регион, и т.д.), либо всякими трюками с ME Firemware recovery / downgrade, либо 1 раз прошив программатором с поправленной конфигурацией.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным: Crawler, fire4x

Crawler

> считаете, что нулевым кольцом все и заканчивается?

Да, так и есть. Смм ничем не поможет для стандартных малварных целей, в этот мод камень войдёт при специальном прерывании. Которое быть может вообще в системе никогда не генерится. Это вендорам нужно чтобы баги фиксить. VMX никто не юзает(поделка рутковской only for lulz, реально тоже бесполезна).

| Сообщение посчитали полезным:

изобрели уже почти )) --> Link <--

| Сообщение посчитали полезным: