ValdikSS
@ValdikSS

Что думаете о #badBIOS?

Всем привет!
Уже несколько дней, в твиттере пользователь dragosr пишет о серьезном трояне, который он обозвал #badBIOS. Судя по его рассказам, это что-то вроде зомби-апокалипсиса в мире компьютеров.
Dragosr пишет, что, вероятно, этот троян перепрограммирует контроллеры USB-флешек таким образом, что они начинают эксплуатировать уязвимости BIOS по идентификации USB-устройств.
www.facebook.com/dragosr/posts/10151655183445588
Он вставил флешку, которая была до этого в зараженной Windows-системе, в компьютер с BSD и Mac, и они тоже стали проявлять признаки заражения — переставали грузиться с CD. Говорит, что брикнул несколько флешек, быстро вставляя их и вынимая (затрояненная прошивка не успевала залиться до конца).
Еще говорит, что этот троян способен заменять файлы при записи на CD.
Также, в качестве возможного вектора атаки, упоминается предпросмотр ttf-файлов шрифтов в Windows. Говорит, что файлы некоторых шрифтов изменились в размере, и файлов стало больше в папке fonts.
Он выложил дамп BIOS своего зараженного компьютера — twitter.com/dragosr/status/388773435284787200

В общем, честно говоря, больше похоже на пранк.
Кто что думает?

plus.google.com/103470457057356043365/posts
twitter.com/search?q=%23badBIOS&src=hash
twitter.com/dragosr
www.reddit.com/r/netsec/comments/1o7jvr/bios_backdoor_bridges_airgapped_networks_using_sdr/
www.reddit.com/r/netsec/comments/1p8wma/dragos_ruius_badbios_saga_simply_plugging_in_a/
kabelmast.wordpress.com/2013/10/23/badbios-and-lotsa-paranoia-plus-fireworks/
  • Вопрос задан
  • 4542 просмотра
Пригласить эксперта
Ответы на вопрос 4
RicoX
@RicoX
Ушел на http://ru.stackoverflow.com/
Мне кажется это утка, как минимум mac не имеет биоса и без действий со стороны самой системы очень проблематично «заразить» все многообразие bios/efi/uefi да и причем тут загрузка с СD. Есть образ этой заразной флешки, чтоб можно было проверить?
Ответ написан
uscr
@uscr
Он вставил флешку, которая была до этого в зараженной Windows-системе, в компьютер с BSD и Mac, и они тоже стали проявлять признаки заражения — переставали грузиться с CD.


Есть хоть что-нибудь, что может сделать эту фразу правдивой?
Получается, что эта волшебная прошивка флешки сама по себе, без участия ОС умеет модифицировать BIOS? Почему тогда именно загрузка с CD ломается?
Ответ написан
CodeRush
@CodeRush
Firmware Security Engineer
Интересно, что сам выложенный БИОС поврежден и не распаковывается ни PhoenixTool'ом, ни UEFITool'ом.
Возможно, вирус перепаковывает DXE Core своим алгоритмом (и маскирует его под LZMA) и заменяет PEI-модуль, реализующий декомпрессию LZMA, чтобы БИОС продолжал работать. Покопаюсь, когда будет время.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
10 дек. 2019, в 14:03
5000 руб./за проект
10 дек. 2019, в 13:59
50000 руб./за проект
10 дек. 2019, в 13:59
10000 руб./за проект