MYBIOS. a infeco BIOS uma realidade?

Introduo Instalao BIOS.SYS e CBROM.EXE MY.SYS BIOS e MBR o BIOS o MBR Confuso? Concluso

Introduo
O fato de que o BIOS pode, teoricamente, ser infectados tem sido conhecida h algum tempo. Na minha opinio, um dos melhores artigos sobre BIOS infeco foi publicado em Phrack , eo pinczakko recurso tambm oferece uma grande quantidade de informaes teis. No momento, uma clara tendncia desenvolveu - Eu gosto de pensar nisso como um "retorno origem". Afinal, a infeco MBR, enganchando funes em vrias tabelas do sistema OS, e infeco dos componentes do sistema foram todas em torno de algum tempo. Assim como casos de MBR, BIOS infeco permite que cdigo malicioso para iniciar muito cedo, imediatamente aps o computador est ligado. A partir desse momento, torna-se possvel controlar todas as etapas de boot-up do computador e do sistema operacional. Claramente, isso algo que interesse os criadores de vrus, embora o processo tambm cheio de complicaes. O principal desafio um formato fora do padro BIOS: o autor de um programa mal-intencionado deve apoiar cada um e cada fabricante de BIOS e obter uma ala sobre os algoritmos de firmware ROM. Neste artigo, vou dar uma olhada em um programa real maliciosos que combinou duas tecnologias infeco: BIOS e MBR. Eu vou quebrar o processo de instalao e como ela se protege contra a deteco, mas no vou abordar como ele penetra um sistema ou como poderia ser usado para gerar dinheiro. Actualmente, a ameaa de infeco BIOS s afeta placas-me com AWARD-fabricados BIOS.

Instalao
O Trojan se espalha como um mdulo executvel que contm tudo o necessrio para seus componentes para operar. Ele detectado pelo Kaspersky Lab produtos como Rootkit.Win32.Mybios.a. A lista de componentes consiste em: um driver para a interao com BIOS - bios.sys (\ Device \ Bios); um driver para esconder infeco - my.sis (\ Device \ ocultar); um componente BIOS - hook.rom; uma biblioteca para gerenciar o driver bios.sys - flash.dll; um utilitrio do fabricante do BIOS para trabalhar com imagem - cbrom.exe; Primeiro, o conta-gotas realiza uma criptografia simples e inicia o processo de instalao. O motorista bios.sys caiu para o disco rgido e, em seguida, lanou e, posteriormente, utilizado para obter as informaes necessrias sobre a BIOS. Suas funes so abordadas em mais detalhes abaixo. Em seguida, o motorista my.sys caiu para o disco rgido, diretamente para a raiz da unidade do sistema.

O algoritmo seguinte pode ser dividido em duas partes. Se BIOS AWARD est sendo usado, ento o seguinte algoritmo executado: ler a BIOS a partir da memria, procure SMI_PORT e determinar o tamanho da BIOS; 2. criar uma imagem da BIOS no disco (c: \ bios.bin); 3. se no houver um mdulo hook.rom na imagem BIOS salvas no disco, ento ele ser adicionado imagem; 4. a imagem infectado brilhou a partir do disco rgido para ROM; Se qualquer BIOS AWARD que no usado, ento a conta-gotas vai infectar a MBR vez. Isso permite que o rootkit para operar em qualquer sistema, independentemente do fabricante do BIOS. 1.

BIOS.SYS e CBROM.EXE
O motorista bios.sys usa um instalador rootkit e tem apenas trs funes.

Figura 1. O procedimento de envio do driver bios.sys

A primeira funo, o que eu tenho chamado FindSMIPORTAndBIOSSize, usada pelo conta-gotas para determinar o tipo de BIOS do sistema, entre outras coisas. , A fim de identificar o tipo de BIOS, a busca de uma assinatura "mgica" na memria usado.

Figura 2. A assinatura "mgica" na BIOS

Se os jogos de assinatura, ento, a funo continua a tentar localizar SMI_PORT e determinar o tamanho da BIOS. Em todos os outros casos, a funo de problemas de um erro, o conta-gotas e executa uma infeco MBR tpico. Se a pesquisa confirma que o computador est usando uma BIOS AWARD, e se SMI_PORT e BIOSSize so identificados, ento a funo MakeBIOSBackup lanado e salva uma imagem da BIOS no disco rgido no arquivo c: bios.bin \. Uma vez que a imagem de backup salvo no drive, o conta-gotas verifica o seu prprio mdulo e, se necessrio, acrescenta ROM ISA para a imagem BIOS, usando o utilitrio cbrom.exe (cbrom c: \ bios.bin / isa hook.rom). O utilitrio tambm cbrom.exe salvo nos recursos instalador e caiu para o disco rgido.

Figura 3. O BIOS antes da infeco

Figura 4. O BIOS aps a infeco

Nota de um mdulo de 11 que foi adicionado lista - esta a ROM ISA malicioso chamado hook.rom. Em seguida na linha a funo FlashROM, que pisca o backup infectados para a ROM e lana-lo cada vez que o computador est ligado.

MY.SYS
A fim de ocultar a infeco, um motorista de rootkit relativamente simples usado: my.sys. Este driver intercepta as funes IRP_MJ_WRITE IRP_MJ_READ e IRP_MJ_DEVICE_CONTROL do driver que suporta \ Device \ Harddisk0 \ DR0. Como e quando esse driver iniciado ficar mais claro a seguir.

Figura 5. Funes interceptada no driver Disk.sys

No h nenhum ponto em entrar no mago da questo do processo de interceptao, uma vez que relativamente trivial. Se o disco lido, ento CompletionRoutine substitudo, e qualquer tentativa de ler setores protegidos retornar um buffer vazio.

Figura 6. O primeiro setor da unidade fsica

A interceptao de IRP_MJ_WRITE no permite que nenhum dado a ser escrito nos setores protegidos. A interceptao de pedidos controles IRP_MJ_DEVICE_CONTROL enviado para IOCTL_DISK_GET_DRIVE_LAYOUT_EX, IOCTL_STORAGE_GET_MEDIA_TYPES_EX e IOCTL_DISK_GET_DRIVE_GEOMETRY_EX, e retorna uma mensagem de erro.

BIOS e MBR
BIOS
Pela execuo da BIOS, o programa malicioso pode controlar qualquer fase do processo de boot-up do computador ou do sistema operacional. Este um bom momento para dar uma olhada no que os escritores de vrus tm feito. O mdulo adicionado BIOS difere entre os infectados MBR e os setores subseqentes por causa de apenas uma funo. Juntamente com outros dados que a funo colocado em um setor (512 bytes). ISA ROM 0x1E00 bytes de comprimento, e MBR + outros setores 0x1C00 bytes de comprimento.

Figura 7. O incio do ISA ROM

Figura 8. Chamando a nica funo de 'Main' no ISA ROM

nica tarefa esta funo ter certeza de que o backup infectado na MBR e restaurar a infeco se ele est ausente. Desde o registro de inicializao infectados e sectores correspondentes esto no mesmo mdulo ROM ISA, se houver discrepncias so encontradas, em seguida, o MBR pode ser re-infectado diretamente da BIOS. Isso aumenta bastante a probabilidade de que o computador ir permanecer infectada, mesmo que a MBR limpo.

Figura 9. A funo 'Main' que verifica e re-infecta o MBR

A presena da infeco determinada pela busca de uma "mgica" constante em um local fixo na MBR - o "int1" necessidades constantes para estar presente no setor de infectados.

Figura 10. A "mgica" constante na MBR

Se a funo CheckMBRInfected no detectar a infeco no master boot record, ento seu prximo passo ser a infectar a MBR e os 13 setores subseqentes. Depois de ter feito isso, o mdulo ROM adicionais ISA na BIOS tem realizado sua funo.

As principais operaes so encontrados no cdigo que executado a partir do MBR.

MBR
Como todos os casos anteriores de infeco MBR que Kaspersky Lab tem abordado, o algoritmo mais ou menos o mesmo: ele l os seguintes setores do registro mestre de inicializao e transfere o controle para o cdigo, que realiza todas as operaes principais do programa. A MBR original mantida pelo Trojan quando o setor stima do disco est infectado e posteriormente utilizado para obter uma tabela de partio (e, em seguida, transferir o controle para ele, logo que as operaes foram executadas). O cdigo executado nesta fase contm um analisador simples de formatos de arquivos para NTFS e sistemas FAT32. O seu principal objectivo localizar os setores do disco que correspondem aos arquivos de sistema ou winlogon.exe wininit.exe - componentes do sistema que responder a um usurio fazer logon no sistema.

Figura 11. Procurando winlogon.exe ou wininit.exe

Se estes setores esto localizados, em seguida, o winlogon.exe arquivo executvel ou wininit.exe ser infectado (ie, a tecnologia empregada vrus de arquivo), escrevendo diretamente para os setores do disco em que ele est localizado. Um modelo de infeco est localizada no setor oitavo.

Figura 12. winlogon.exe 's ponto de entrada antes da infeco

Figura 13. winlogon.exe 's ponto de entrada aps a infeco

Este cdigo relativamente pequeno, uma vez que realiza apenas duas tarefas:

download de um arquivo especfico atravs de um link a partir da Internet e lana esse arquivo; lana o driver rootkit (o my.sys mesmo no drive C:, que ir proteger os setores da unidade infectados).

Confuso?
No podemos deixar de fora um detalhe interessante que os aficionados do idioma Ingls e quem sabe como se escreve "AWARD" ir apreciar. Cdigo malicioso raramente usa mensagens de depurao, uma vez que eles costumam dar pistas para analistas. Mas como isso acontece, h mensagens de depurao no "produto acabado". Mensagens o driver bios.sys de depurao esto listados abaixo:

Flash BIOS aword forma de disco c bios.bin sucesso. SMI_AutoErase aword Bios Failed. ExAllocatePool ler o arquivo NonPagedPool falhou. De backup aword BIOS para o disco de sucesso bios.bin c. MmMapIoSpace endereo de fsica: x 0x% falharam. Esta no uma BIOS aword!

Concluso
Os criadores de vrus freqentemente combinar uma variedade de mtodos para infectar um computador com software malicioso e certifique-se que permanece no sistema operacional. Ao mesmo tempo, eles esto sempre procura de novos locais autostart para lanar programas maliciosos. Hoje em dia, os criadores de programas maliciosos normalmente fazem uso de idias que foram em torno de um tempo (s vezes apenas como uma prova de conceito) e que de certa forma foram esquecidos, incorporando-os em suas criaes final. Trazendo de volta 16-bit tecnologia um bom exemplo disso. Mais provvel que no, podemos esperar o surgimento de rootkits semelhantes no futuro que BIOSs tambm alvo de outros fabricantes.