| 發表文章 | 發起投票 |
拔掉網路線、Wi-Fi、藍牙,依然可以發號施令!詭異病毒 BadBios 嚇駭頂尖資安專家
拔掉網路線、Wi-Fi、藍牙,依然可以發號施令!詭異病毒 BadBios 嚇駭頂尖資安專家[/size=4][/b]
在拔掉網路線、Wi-Fi、藍牙之後,竟然還有電腦病毒可以繼續發號施令,聽起來就像是科幻小說的故事一樣。但是,這種病毒已經在三年前就出現了,而且資安專家到現在還無法確認到底要如何清除它,以及它真正的擴散原因是什麼。
安全專家,同時也是Pwn2Own駭客挑戰賽的創辦人Dragos Ruiu,前幾天在接受Ars Technica 訪問的時候,透露了一件這三年來一直困擾他的怪事。事情離奇的程度,對於任何關心資訊安全的人聽起來,簡直就像是資訊版的僵屍電影一樣恐怖離奇。
▲Dragos Ruiu
三年前,Dragos Ruiu在他的實驗室裡頭,才剛剛幫他的MacBook Air更新了OS X,之後沒多久他就注意到一件奇怪的事情:他的筆電在自動更新BIOS。然後當他嘗試要從光碟機啟動電腦的時候,被電腦拒絕了。他同時也發現他的電腦會自動刪除某些資料,並且在沒有任何提示的情況下,把一些原本弄好的設定給恢復回來。事情雖然古怪,但當時因為時間已經很晚了,加上他想或許是新灌好的系統哪裡步驟出了錯,也不以為意,就去睡覺了。
結果在接下來的幾個月,發生在Dragos Ruiu身上的事情簡直就是科幻恐怖片的情節:他實驗室中一台執行Open BSD系統的電腦也開始自作主張地刪除資料,以及自動調整設定;他發現網路內有些資料透過IPv6在傳輸數據,甚至是從那些原本已經把電腦的IPv6協定關閉的電腦;最離奇的是,這些被感染的機器,就算是拔除了網路線、移掉了Wi-Fi、藍芽卡,依然還是能對實驗室中其他的電腦發號施令,而且還橫跨了 Windows 、Linux 等不同的平台。
▲這種病毒頑強的程度就跟僵屍一樣。
最後,Dragos Ruiu做了所有資安專家都會做的事情:他將實驗室中所有的系統都重新清除再安裝。但是,在接下來的這三年間,這個感染依然斷斷續續地發生,就像是細菌增生一樣。他只好一遍又一遍地重複這樣的動作。
病毒最明顯的徵兆是被感染的電腦都無法從光碟機開機啟動,不過為了偵測出更多關於病毒的行為,他採用了一些類似Process Monitor的工具,用來觀察病毒的行為。由這裡他發現更驚人的是,他採用了「airgaps」的設計來隔絕受感染以及可能受感染的電腦,「airgaps」的意思就是將這些電腦完整地隔絕在實驗室的網路之外,不管是有線或是無線的,就算採取這樣的措施,這些病毒似乎還有自我治療的能力。
▲airgaps是用來將電腦隔絕一切接觸外界環境的程序。
「有一台受感染的電腦採用了airgaps的措施,我們重裝了他的BIOS,全新沒有任何資料的硬碟也剛裝上去,透過原版Windows安裝光碟裝上了系統。」Ruiu對採訪的記者表示,「沒有多久,當我們要安裝我們的Process Monitor工具時,我們發現這台電腦的registry編輯器被disabled了。這時我們不由得想:嘿,這真是太不科學了!這台電腦怎麼可能去攻擊我們正準備要用來攻擊他的程式?我的意思是說,這是一台已經採用過airgaps隔絕的機器,然後就當我們正準備透過registry編輯器去搜尋病毒特徵的時候,所有的搜尋功能就被禁止了!」
遇到這種事,就連資安專家Ruiu也無計可施。他在接下來的兩週在他的Twitter、Facebook、Google+上都描述了他對於這個病毒的調查,而這也引起世界上其他的頂尖資安專家的注意。
Ruiu認為這個病毒是透過USB裝置感染了電腦的底層硬體,攻擊了電腦的BIOS、UEFI,也可能感染了其他的韌體裝置。這個病毒可以攻擊多種的平台,逃避一般的偵測方式,以及從各種企圖毀滅它的行為中存活下來。其中,最困擾Ruiu的一點是,當所有的網路都被隔絕之後,這個病毒到底是用什麼方式擴散傳染給其他的電腦?
但是隨著這個事件繼續的偵察下去,Ruiu在一次意外中發現,隨著他移除了電腦內部的揚聲器以及麥克風之後,電腦的感染狀況竟然奇蹟似停止了。在他嘗試了幾台電腦都得到這樣的結果之後,他判斷,病毒是利用揚聲器發出一種人耳偵測不到的高頻聲音,而透過另一台電腦的麥克風接收到這個高頻,以此來進行病毒之間溝通的方式。
是網路謠言嗎?[/size=4][/b]
一開始,很多資訊媒體都懷疑這則離奇的故事是網路謠言、資訊界的鄉野傳說,或是只是一些對病毒不瞭解的人的誤解。而且,Ruiu也詢問了好幾個資安專家,沒有一個人發現過類似的病毒。
雖然Ruiu身為資安領域的專家,以及駭客挑戰賽的創辦人,他毫無疑問當然是駭客攻擊的目標。但是他並沒有比其他上千位的同領域專家更值得成為獨立的目標,而至今這個案例三年來只有發生在他身上,也讓人感到懷疑。
不過,也有很多安全專家站在他這一邊。網路犯罪專家Alex Stamos,就在他的Twitter上寫著「所有在資安圈子的朋友,都該Follow @dragosr,並且看他怎麼分析#badBIOS」。
Jeff Moss,美國知名Hacker,「Defcon and Blackhat security conferences」創辦者,同時也是美國國土安全局資安顧問。他也對這件事情感到關切:「毫無疑問的,這是一件很嚴重的事情。」
▲Jeff Moss
資安學者Arrigo Triulzi則在接受採訪時表示:「Dragos絕對是一個值得信任的朋友,我不懷疑他講的內容的真實性。他所描述的內容在科幻小說中並不特別,只是我們沒有在現實生活中見過而已。」
後續整理:關於BadBIOS該知道的4+1件事情[/size=4][/b]
根據heavy tech整理的後續發展,關於被Ruiu稱為BadBios的這個病毒,有4件事情(原文是5件,但是第5件可以略過不提)你應該要知道,最後我們再加上一個持不同意見的BIOS專家的觀點連結:
1.病毒可能是透過高頻或是高超頻聲波下指令
一般人覺得最感興趣,或是最驚悚的部分,就是病毒可以透過聲波來發號施令,實現自我修復的功能,原理簡圖如下
(補充說明)
依照底下rho網友的留言,找出Ruiu的說法:
「No these machines were probably infected via traditional means or USB. Wish folks would get off this infected by audio nonsense. The audio is only a c&c channel between infected machines to bypass air gap.」
因此Ruiu在這裡定義了之前所謂了「散佈」,指的是病毒是透過高頻信號來傳遞指令,而非感染。
2.有些人宣稱這在物理上不科學,他們錯了。
正如上面這位Eric Hill所說,他不相信有病毒能夠在airgap的隔絕之下,還能夠傳遞資料的。任何讀過資訊相關科系的學生應該都有這種根深蒂固的印象,只要採取了這種隔絕,在物理上病毒就不可能傳遞資訊。
但事實上他錯了,我們以前學的資安理論關於airgap的部分也錯了。利用聲波來傳遞電腦資料,原理就類似早期Apple II時代的磁帶機,將資料記錄在錄音帶上,如果你把磁帶拿去一般的播放器播放,會傳出吱吱嘎嘎的聲音,那就是資料的聲音。
資料透過聲音來傳遞,在理論上是可行的。但是因為空氣中存在太多的干擾,隨便有其他的聲音就會破壞資料的正確性,所以必須要反覆傳遞同樣的資料用來糾錯,傳輸率會變得相當慢。但理論上的確可行。
但是實際上利用BIOS那麼小的空間,來讓病毒實現這樣複雜的動作,是否做得到?這是大家質疑的地方。
資安公司 Errata Security的CEO--Rob Graham表示:根據Dragos在報告中所描述的所有事情,其實並非不能做到的。如果給我一年的時間,我想我可以寫出一個如他所描述的「badBios」病毒所能做到的事情的軟體,透過超高頻聲波來傳遞,其實真的不是一件難事。
3.禍首應該是來自USB隨身碟
Dragos表示,到目前為止他的調查懷疑BIOS在讀取USB隨身碟的時候,受到了某種buffer overflow攻擊。這個程式會重寫flash controller,然後在BIOS table裡頭加了其它定義的東西進去。
4.Dragos有釋放出一部份遭到感染的文件檔案供人分析
他在10月25號於自己的Google+上,有放上一部份的檔案讓其它的專家來幫忙分析。
But,這些專家的想法可能全錯了
最後,還有一位對BIOS有研究的專家,認為上面這些病毒專家對於BadBios的分析全都錯了,認為這些專家根本就不懂BIOS,並且將上述的論證加以反駁。但是,其中關於論證的部分寫得太專業了,或許有資工背景的朋友,可以看懂他在說什麼,再來提供給大家參考。
網址:http://www.rootwyrm.com/2013/11/the-badbios-analysis-is-wrong/
資料來源 : http://www.techbang.com/posts/15475-non-internet-rumors-through-a-loudspeaker-microphone-the-proliferation-of-new-viruses-do-exist-badbios?page=1
在拔掉網路線、Wi-Fi、藍牙之後,竟然還有電腦病毒可以繼續發號施令,聽起來就像是科幻小說的故事一樣。但是,這種病毒已經在三年前就出現了,而且資安專家到現在還無法確認到底要如何清除它,以及它真正的擴散原因是什麼。
安全專家,同時也是Pwn2Own駭客挑戰賽的創辦人Dragos Ruiu,前幾天在接受Ars Technica 訪問的時候,透露了一件這三年來一直困擾他的怪事。事情離奇的程度,對於任何關心資訊安全的人聽起來,簡直就像是資訊版的僵屍電影一樣恐怖離奇。
▲Dragos Ruiu
三年前,Dragos Ruiu在他的實驗室裡頭,才剛剛幫他的MacBook Air更新了OS X,之後沒多久他就注意到一件奇怪的事情:他的筆電在自動更新BIOS。然後當他嘗試要從光碟機啟動電腦的時候,被電腦拒絕了。他同時也發現他的電腦會自動刪除某些資料,並且在沒有任何提示的情況下,把一些原本弄好的設定給恢復回來。事情雖然古怪,但當時因為時間已經很晚了,加上他想或許是新灌好的系統哪裡步驟出了錯,也不以為意,就去睡覺了。
結果在接下來的幾個月,發生在Dragos Ruiu身上的事情簡直就是科幻恐怖片的情節:他實驗室中一台執行Open BSD系統的電腦也開始自作主張地刪除資料,以及自動調整設定;他發現網路內有些資料透過IPv6在傳輸數據,甚至是從那些原本已經把電腦的IPv6協定關閉的電腦;最離奇的是,這些被感染的機器,就算是拔除了網路線、移掉了Wi-Fi、藍芽卡,依然還是能對實驗室中其他的電腦發號施令,而且還橫跨了 Windows 、Linux 等不同的平台。
▲這種病毒頑強的程度就跟僵屍一樣。
最後,Dragos Ruiu做了所有資安專家都會做的事情:他將實驗室中所有的系統都重新清除再安裝。但是,在接下來的這三年間,這個感染依然斷斷續續地發生,就像是細菌增生一樣。他只好一遍又一遍地重複這樣的動作。
病毒最明顯的徵兆是被感染的電腦都無法從光碟機開機啟動,不過為了偵測出更多關於病毒的行為,他採用了一些類似Process Monitor的工具,用來觀察病毒的行為。由這裡他發現更驚人的是,他採用了「airgaps」的設計來隔絕受感染以及可能受感染的電腦,「airgaps」的意思就是將這些電腦完整地隔絕在實驗室的網路之外,不管是有線或是無線的,就算採取這樣的措施,這些病毒似乎還有自我治療的能力。
▲airgaps是用來將電腦隔絕一切接觸外界環境的程序。
「有一台受感染的電腦採用了airgaps的措施,我們重裝了他的BIOS,全新沒有任何資料的硬碟也剛裝上去,透過原版Windows安裝光碟裝上了系統。」Ruiu對採訪的記者表示,「沒有多久,當我們要安裝我們的Process Monitor工具時,我們發現這台電腦的registry編輯器被disabled了。這時我們不由得想:嘿,這真是太不科學了!這台電腦怎麼可能去攻擊我們正準備要用來攻擊他的程式?我的意思是說,這是一台已經採用過airgaps隔絕的機器,然後就當我們正準備透過registry編輯器去搜尋病毒特徵的時候,所有的搜尋功能就被禁止了!」
遇到這種事,就連資安專家Ruiu也無計可施。他在接下來的兩週在他的Twitter、Facebook、Google+上都描述了他對於這個病毒的調查,而這也引起世界上其他的頂尖資安專家的注意。
Ruiu認為這個病毒是透過USB裝置感染了電腦的底層硬體,攻擊了電腦的BIOS、UEFI,也可能感染了其他的韌體裝置。這個病毒可以攻擊多種的平台,逃避一般的偵測方式,以及從各種企圖毀滅它的行為中存活下來。其中,最困擾Ruiu的一點是,當所有的網路都被隔絕之後,這個病毒到底是用什麼方式擴散傳染給其他的電腦?
但是隨著這個事件繼續的偵察下去,Ruiu在一次意外中發現,隨著他移除了電腦內部的揚聲器以及麥克風之後,電腦的感染狀況竟然奇蹟似停止了。在他嘗試了幾台電腦都得到這樣的結果之後,他判斷,病毒是利用揚聲器發出一種人耳偵測不到的高頻聲音,而透過另一台電腦的麥克風接收到這個高頻,以此來進行病毒之間溝通的方式。
是網路謠言嗎?[/size=4][/b]
一開始,很多資訊媒體都懷疑這則離奇的故事是網路謠言、資訊界的鄉野傳說,或是只是一些對病毒不瞭解的人的誤解。而且,Ruiu也詢問了好幾個資安專家,沒有一個人發現過類似的病毒。
雖然Ruiu身為資安領域的專家,以及駭客挑戰賽的創辦人,他毫無疑問當然是駭客攻擊的目標。但是他並沒有比其他上千位的同領域專家更值得成為獨立的目標,而至今這個案例三年來只有發生在他身上,也讓人感到懷疑。
不過,也有很多安全專家站在他這一邊。網路犯罪專家Alex Stamos,就在他的Twitter上寫著「所有在資安圈子的朋友,都該Follow @dragosr,並且看他怎麼分析#badBIOS」。
Jeff Moss,美國知名Hacker,「Defcon and Blackhat security conferences」創辦者,同時也是美國國土安全局資安顧問。他也對這件事情感到關切:「毫無疑問的,這是一件很嚴重的事情。」
▲Jeff Moss
資安學者Arrigo Triulzi則在接受採訪時表示:「Dragos絕對是一個值得信任的朋友,我不懷疑他講的內容的真實性。他所描述的內容在科幻小說中並不特別,只是我們沒有在現實生活中見過而已。」
後續整理:關於BadBIOS該知道的4+1件事情[/size=4][/b]
根據heavy tech整理的後續發展,關於被Ruiu稱為BadBios的這個病毒,有4件事情(原文是5件,但是第5件可以略過不提)你應該要知道,最後我們再加上一個持不同意見的BIOS專家的觀點連結:
1.病毒可能是透過高頻或是高超頻聲波下指令
一般人覺得最感興趣,或是最驚悚的部分,就是病毒可以透過聲波來發號施令,實現自我修復的功能,原理簡圖如下
(補充說明)
依照底下rho網友的留言,找出Ruiu的說法:
「No these machines were probably infected via traditional means or USB. Wish folks would get off this infected by audio nonsense. The audio is only a c&c channel between infected machines to bypass air gap.」
因此Ruiu在這裡定義了之前所謂了「散佈」,指的是病毒是透過高頻信號來傳遞指令,而非感染。
2.有些人宣稱這在物理上不科學,他們錯了。
正如上面這位Eric Hill所說,他不相信有病毒能夠在airgap的隔絕之下,還能夠傳遞資料的。任何讀過資訊相關科系的學生應該都有這種根深蒂固的印象,只要採取了這種隔絕,在物理上病毒就不可能傳遞資訊。
但事實上他錯了,我們以前學的資安理論關於airgap的部分也錯了。利用聲波來傳遞電腦資料,原理就類似早期Apple II時代的磁帶機,將資料記錄在錄音帶上,如果你把磁帶拿去一般的播放器播放,會傳出吱吱嘎嘎的聲音,那就是資料的聲音。
資料透過聲音來傳遞,在理論上是可行的。但是因為空氣中存在太多的干擾,隨便有其他的聲音就會破壞資料的正確性,所以必須要反覆傳遞同樣的資料用來糾錯,傳輸率會變得相當慢。但理論上的確可行。
但是實際上利用BIOS那麼小的空間,來讓病毒實現這樣複雜的動作,是否做得到?這是大家質疑的地方。
資安公司 Errata Security的CEO--Rob Graham表示:根據Dragos在報告中所描述的所有事情,其實並非不能做到的。如果給我一年的時間,我想我可以寫出一個如他所描述的「badBios」病毒所能做到的事情的軟體,透過超高頻聲波來傳遞,其實真的不是一件難事。
3.禍首應該是來自USB隨身碟
Dragos表示,到目前為止他的調查懷疑BIOS在讀取USB隨身碟的時候,受到了某種buffer overflow攻擊。這個程式會重寫flash controller,然後在BIOS table裡頭加了其它定義的東西進去。
4.Dragos有釋放出一部份遭到感染的文件檔案供人分析
他在10月25號於自己的Google+上,有放上一部份的檔案讓其它的專家來幫忙分析。
But,這些專家的想法可能全錯了
最後,還有一位對BIOS有研究的專家,認為上面這些病毒專家對於BadBios的分析全都錯了,認為這些專家根本就不懂BIOS,並且將上述的論證加以反駁。但是,其中關於論證的部分寫得太專業了,或許有資工背景的朋友,可以看懂他在說什麼,再來提供給大家參考。
網址:http://www.rootwyrm.com/2013/11/the-badbios-analysis-is-wrong/
資料來源 : http://www.techbang.com/posts/15475-non-internet-rumors-through-a-loudspeaker-microphone-the-proliferation-of-new-viruses-do-exist-badbios?page=1
7
0本貼文共有 0 個回覆
此貼文已鎖,將不接受回覆
| 發表文章 | 發起投票 |