Задать вопрос
ValdikSS
@ValdikSS

Что думаете о #badBIOS?

Всем привет!
Уже несколько дней, в твиттере пользователь dragosr пишет о серьезном трояне, который он обозвал #badBIOS. Судя по его рассказам, это что-то вроде зомби-апокалипсиса в мире компьютеров.
Dragosr пишет, что, вероятно, этот троян перепрограммирует контроллеры USB-флешек таким образом, что они начинают эксплуатировать уязвимости BIOS по идентификации USB-устройств.
www.facebook.com/dragosr/posts/10151655183445588
Он вставил флешку, которая была до этого в зараженной Windows-системе, в компьютер с BSD и Mac, и они тоже стали проявлять признаки заражения — переставали грузиться с CD. Говорит, что брикнул несколько флешек, быстро вставляя их и вынимая (затрояненная прошивка не успевала залиться до конца).
Еще говорит, что этот троян способен заменять файлы при записи на CD.
Также, в качестве возможного вектора атаки, упоминается предпросмотр ttf-файлов шрифтов в Windows. Говорит, что файлы некоторых шрифтов изменились в размере, и файлов стало больше в папке fonts.
Он выложил дамп BIOS своего зараженного компьютера — twitter.com/dragosr/status/388773435284787200

В общем, честно говоря, больше похоже на пранк.
Кто что думает?

plus.google.com/103470457057356043365/posts
twitter.com/search?q=%23badBIOS&src=hash
twitter.com/dragosr
www.reddit.com/r/netsec/comments/1o7jvr/bios_backdoor_bridges_airgapped_networks_using_sdr/
www.reddit.com/r/netsec/comments/1p8wma/dragos_ruius_badbios_saga_simply_plugging_in_a/
kabelmast.wordpress.com/2013/10/23/badbios-and-lotsa-paranoia-plus-fireworks/
  • Вопрос задан
  • 4675 просмотров
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
RicoX
@RicoX
Ушел на http://ru.stackoverflow.com/
Мне кажется это утка, как минимум mac не имеет биоса и без действий со стороны самой системы очень проблематично «заразить» все многообразие bios/efi/uefi да и причем тут загрузка с СD. Есть образ этой заразной флешки, чтоб можно было проверить?
Ответ написан
ValdikSS
@ValdikSS Автор вопроса
Arstechnica написала большую статью.
arstechnica.com/security/2013/10/meet-badbios-the-mysterious-mac-and-pc-malware-that-jumps-airgaps/

CodeRush, RicoX, m08pvv, uscr, может вам все еще интересно будет.
Ответ написан
Комментировать
CodeRush
@CodeRush
Firmware Security Engineer
Интересно, что сам выложенный БИОС поврежден и не распаковывается ни PhoenixTool'ом, ни UEFITool'ом.
Возможно, вирус перепаковывает DXE Core своим алгоритмом (и маскирует его под LZMA) и заменяет PEI-модуль, реализующий декомпрессию LZMA, чтобы БИОС продолжал работать. Покопаюсь, когда будет время.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы