Badacz twierdzi, że wirus komunikuje się przez kartę dźwiękową

dodał 26 października 2013 o 22:07 w kategorii Złośniki  z tagami:
Badacz twierdzi, że wirus komunikuje się przez kartę dźwiękową

(źródło: nickgraywfu)

Od kilkunastu dni śledzimy doniesienia na temat niezwykle przebiegłego i oryginalnego wirusa, który przesyła dane przez kartę dźwiękową, infekuje wbudowane oprogramowanie dysków USB i potrafi zarażać systemy Windows, Mac i BSD.

Historia zaczęła się 10 października od tego tweeta Dragosa Ruiu. W tym wpisie i w kolejnych Dragos opisuje odkrytego przez siebie wirusa, który posiada prawie paranormalne – choć w zasadzie wytłumaczalne – właściwości. Na profilu w serwisie Twitter i Google Plus Dragos opisał do tej pory kilka cech wirusa, którego bada. Postaramy się poniżej podsumować jego odkrycia wraz z naszym krótkim komentarzem (czerwoną czcionką).

1. Wirus podobno potrafi przesyłać dane za pomocą karty dźwiękowej. Generuje dźwięki wysokiej częstotliwości, które odbierane są przez inne zainfekowane maszyny. W ten sposób pokonuje problem stacji odseparowanych galwanicznie od pozostałej części sieci. Dragos twierdzi, że słyszy te piski ze swoich głośników. Brzmi jak science fiction, ale w dobie Software Defined Radio nie wydaje się nierealne.

2. Wirus komunikuje się z C&C za pomocą dodatkowych parametrów pakietów DHCP, dodatkowo korzystając z TLS. Dane przesyła zwrotnie za pomocą zapytań DNS NetBIOS oraz IPv6 (równiez na komputerach nie korzystających z IPv6). Prawdopodobnie wykonalne, znane są różne przypadki „dziwnych” kanałów komunikacji z C&C.

3. Wirus infekuje BIOS płyty głównej, radzi sobie zarówno a platformą PC jak i Mac. Zainfekowany komputer nie uruchamia się z zewnętrznych urządzeń jak np. CD czy USB. Bez względu na wybrane opcje uruchamia się z wewnętrznego dysku twardego. Całkiem prawdopodobne i możliwe do wdrożenia.

4. Wirus blokuje uruchamianie programu Copernicus, służącego do weryfikacji sum kontrolnych BIOSu. Całkiem możliwe i proste do wdrożenia.

5. Wirus prawdopodobnie używa do infekcji plików czcionek TTF, ponieważ są one automatycznie wykonywane w momencie przeglądania folderu je zawierającego. Tu pytamy czytelników – ma to sens? Dragos twierdzi, że ma.

6. Do zainfekowania innego komputera wystarczy podłączyć do niego dysk USB, który był wcześniej podłączony do zainfekowanego komputera. Nie trzeba go nawet otwierać – wystarczy podłączyć. Działa również na komputerach pracujących pod kontrolą systemu BSD (dysk nie musi być nawet zamontowany). Możliwe, choć infekcja przez samo włożenie dysku USB do portu wymaga wykorzystania błędu na etapie identyfikacji nośnika.

7. Wirus prawdopodobnie nadpisuje wbudowane oprogramowanie dysków USB i napędów CD na USB. Jeśli dysk USB lub napęd CD na USB jest odłączany krótko po podłączeniu do zainfekowanego komputera, przestaje działać – zupełnie jakby proces nadpisywania wbudowanego sterownika został przerwany w połowie. Ponowne podłączenie urządzenia do zainfekowanego komputera magicznie je naprawia. Możliwe – choć zapewne wymaga bardzo specjalistycznej wiedzy.

8. Wypalanie płyt CD na zainfekowanych komputerach ma nieprzewidywalne skutki – pojawiają się pliki, których nie było w kompilacji lub pliki, które miały być, znikają. Możliwe i raczej proste do wdrożenia.

9. Flasboot.ru, jedyna strona opisująca wg Dragosa nadpisywanie wbudowanych sterowników dysków USB, nie otwiera się na zainfekowanych komputerach. Możliwe i raczej proste do wdrożenia.

Niestety jak do tej pory Dragos ciągle walczy z identyfikacja i wyodrębnieniem złośliwego kodu. Nie udało mu się do tej pory znaleźć komputera, który nie byłby podatny na działanie wirusa, na którym mógłby przeprowadzić jego analizę. Jeśli zastanawiacie się, czy można zaufać Dragosowi, to spieszymy poinformować, że to dość znana postać w świecie bezpieczeństwa IT. Dragos jest pomysłodawcą i głównym organizatorem poważnej konferencji CanSecWest oraz inicjatorem pierwszego konkursu z cyklu Pwn2Own. Można zatem przypuszczać, że faktycznie odkrył nieznany do tej pory rodzaj złośliwego oprogramowania. Pozostaje nam śledzić jego dalsze poczynania i trzymać kciuki za to, byśmy któregoś dnia mogli opisać szczegóły jego odkrycia.

PS. Jeśli słyszycie tajemnicze piski z głośników, lepiej sprawdźcie, czy otwiera się Wam strona Flashboot.ru.

Aktualizacja 2013-10-27

  1. Dragos informuje, że tajemnicze oprogramowanie zaczyna się anihilować – jego zdaniem autorzy zauważyli, że je bada i wysłali sygnał samozniszczenia. Zaczyna to przypominać powieść sci-fi.
  2. Udało się wydobyć podejrzany plik malgunbd.ttf. Jego analiza w serwisie malwr.com.
  3. Kilkanaście dni temu Microsoft ogłosił łaty na błędy w plikach TTF (zdalne wykonanie kodu, CVE-2013-3894) oraz rozpoznawaniu napędów USB (atak przez podłączenie złośliwego urządzenia, CVE-2013-3200), które mogą mieć związek z opisywanym złośliwym oprogramowaniem.
  4. Drugi serwis poświęcony flashowaniu napędów USB to usbdev.ru.