Skip to content

BadBIOS - Ein neuer Superschädling?

Dragos Ruiu hat auf seinen Laptops eine Schadsoftware entdeckt, die alle bisher bekannten Schädlinge einschließlich Stuxnet, Flame und Co. alt aussehen lässt: Der BadBIOS genannte Schädling, der sich vermutlich über USB-Laufwerke verbreitet, kompromittiert das BIOS der angegriffenen Rechner und läuft unter verschiedenen Betriebssystemen; Windows, Linux, Mac OS X und OpenBSD. Außerdem kann der Schädling Daten von nicht an das Internet angeschlossenen Rechnern über den Umweg über in die Nähe stehende Rechner mit Internetverbindung an seinen Command&Control-Server schicken. Die "Air Gaps" überwindet der Schädling dabei über hochfrequente Impulse über Lautsprecher und Mikrofone der angegriffenen Rechner.

Das klingt ziemlich unglaubwürdig. Auf den ersten und auch auf den zweiten Blick. Also werfen wir mal einen Blick auf die bisher bekannten Fakten. Erst mal:

Wer ist Dragos Ruiu?

Dragos Ruiu (@dragosr) ist in Sicherheitskreisen recht bekannt. Er ist Veranstalter der Sicherheitskonferenzen CanSecWest, PacSec und EUSecWest und hat auch die bekannten Pwn2Own-Wettbewerbe auf diesen Konferenzen ins Leben gerufen. Eigentlich sollte Ruiu also wissen, von was er spricht und schreibt. Seine Beschreibungen klingen aber teilweise so abwegig, dass es auch eine Fehleinschätzung oder sogar ein Werbe-Gag für die im November stattfindende PacSec sein könnten. Genau so gut ist es möglich, dass er einen akuten Anfall von Paranoia hat. Aber gehen wir erst mal davon aus, dass seine Angaben stimmen.

Was kann BadBIOS?

Leider veröffentlicht Dragos Ruiu die Informationen zu BadBIOS häppchenweise über Twitter und Google+. Los ging es am 10. Oktober auf Twitter, unter anderem mit diesen Tweets: 1, 2, 3, 4, 5, 6, 7, 8.

Die folgenden Angaben stammen aus einem Ars-Technica-Artikel von Dan Goodin und einem Artikel auf Security Art Work von Ernesto Corral, die das bisher Bekannte zusammen gefasst haben.

Vor 3 Jahren fand Dragos Ruiu die ersten Anzeichen einer mysteriösen Infektion: Ein frisch installiertes MacBook Air installierte ohne erkennbaren Grund ein Firmware-Update. Als Ruiu den Rechner danach von CD booten wollte, verweigerte der den Start. Er stellte dann noch fest, dass der Rechner ohne Rückfrage Daten löschen und Konfigurationsänderungen rückgängig machen konnte.

In den folgenden Monaten zeigte ein Rechner mit OpenBSD ähnliche Symptome: Er veränderte die Konfiguration und löschte Daten ohne Rückfrage und ohne Erklärung. Außerdem wurden Daten über IPv6 übertragen, und das auch von Rechnern, auf denen IPv6 nicht aktiviert war. Besonders bemerkenswert ist die Tatsache, dass infizierte Rechner auch dann Daten mit anderen infizierten Rechnern austauschten, wenn weder Strom- noch Ethernetkabel angeschlossen und WiFi- und Bluetooth-Karten entfernt waren.

Außer Mac OS X und OpenBSD wurden auch Rechner mit verschiedenen Windows- und Linux-Versionen infiziert. Ein Löschen aller Rechner mit anschließender Neuinstallation brachte keine Abhilfe, einige Tage oder Wochen nach der Neuinstallation waren die Rechner wieder infiziert.

Auf einem nicht mit dem Netzwerk verbundenen Rechner ("Air-gaped"), dessen BIOS-Firmware frisch geflashed war und in dem auf einer neuen Festplatte Windows von einer System-CD installiert worden war, wurde ohne erkennbaren Grund der Registry-Editor deaktiviert.

Ruiu geht davon aus, dass die erste Infektion über USB-Sticks erfolgt und als erstes BIOS, UEFI und möglicherweise weitere Firmware kompromittiert werden.

Air-Gaps werden über hochfrequente Audiosignale überwunden, allerdings werden damit nur Daten von infizierten Rechnern ohne Internetverbindung zu solchen mit Internetverbindung übertragen. Eine Infektion erfolgt auf diesem Wege nicht.

Zusammengefasst ergibt das eine eindrucksvolle Liste von Fähigkeiten:

  • Die Schadsoftware installiert sich in der Firmware der Rechner (BIOS, UEFI) und übersteht ein Flashen des BIOS (muss also noch irgend wo anders als nur im Rechner-BIOS verankert sein, zum Beispiel in der Firmware von Grafikkarten oder ähnlichem).
  • Es wird ein Hypervisor geladen, das vorhandene System kann also heimlich virtualisiert werden. Dieser Ansatz ist in der Theorie schon seit längerem bekannt.
  • Nachdem das BIOS kompromittiert wurde kann der Rechner nicht mehr von externen Laufwerken booten, egal welche Einstellungen gemacht werden.
  • Alle angeschlossenen USB-Laufwerke inklusive CD-Laufwerken werden beim Anschließen geflasht, die vorhandene Firmware durch eine mit dem Schadcode ersetzt.
  • Wird ein USB-Laufwerk unerwartet entfernt, wird es unbrauchbar. Evtl., weil die infizierte Firmware noch nicht vollständig installiert ist. Wird das unbrauchbare Gerät wieder an einen infizierten Rechner angeschlossen, erweckt der es wieder zum Leben.
  • Wird ein infizierter USB-Stick in einen nicht infizierten Rechner gesteckt, wird der Rechner infiziert. Allem Anschein nach ohne Aktion des Betriebssystems.
  • Die Schadsoftware infiziert verschiedene Windows- und Linux-Versionen, Mac OS X und OpenBSD.
  • Auf infizierten Windows-Systemen erscheinen zusätzliche .TTF- und .FON-Dateien.
  • Sollen diese Dateien gesichert werden, erscheinen sie nicht auf einer gebrannten CD.
  • Air-Gaps werden über hochfrequente Audiosignale überwunden, dabei aber nur Daten übertragen und keine Geräte neu infiziert (das wäre auch ziemlich unwahrscheinlich, da ja Code vorhanden sein muss, der die Audiosignale entgegen nimmt und verarbeitet).
  • Die Kommunikation von BadBIOS mit seinem Command&Control-Servern erfolgt über per TLS verschlüsselte DHCP-HostOptions-Felder und über IPv6 - letzteres auch, wenn IPv6 auf dem infizierten Rechner ausgeschaltet ist.
  • Zugriffe auf russische Websites, die sich mit dem Flashen von Controllern befassen, werden blockiert.

Soviel erst mal zu den bisher bekannten (angeblichen?) Fähigkeiten von BadBIOS. Ab der nächsten Folge werde ich die daraufhin untersuchen, ob sie möglich sind oder nicht. Das Ergebnis nehme ich hier schon mal vor weg: Alles lässt sich erklären, alles ist in der einen oder anderen Art möglich und entweder theoretisch oder sogar praktisch schon vorgekommen.

Gibt es BadBIOS wirklich oder ist das nur eine Phantasie oder ein Werbe-Gag von Dragos Ruiu? Das werden wir erst mit Sicherheit wissen, wenn Dritte BadBIOS analysiert und Ruius Behauptungen bewiesen oder widerlegt haben. Was mich an der ganzen Geschichte stört, ist das Ziel: Dragos Ruiu. Was ist an einem Veranstalter von Sicherheitskonferenzen so interessant, dass man ihm einen so mächtigen Schädling unter schiebt? Da gibt es sicher jede Menge interessantere Ziele, egal wer der Angreifer ist. BadBIOS gegen Dragos Ruiu einzusetzen ist nicht, wie mit Kanonen auf Spatzen zu schießen, sondern wie ihnen mit einer Blaster zu Leibe zu rücken. Und das, bevor alle anderen überhaupt wissen, dass es einen Blaster gibt.

Carsten Eilers


Übersicht über alle Artikel zum Thema

BadBIOS - Ein neuer Superschädling?
Ist BadBIOS möglich? Teil 1: Die Infektion des BIOS
Ist BadBIOS möglich? Teil 2: USB-Manipulationen
Ist BadBIOS möglich? Teil 3: Angriffe auf mehrere Systeme und mehr
Ist BadBIOS möglich? Teil 4: Air-Gaps über Audiosignale überbrücken
Ist BadBIOS möglich? Teil 5: Stolperstein BIOS
Ist BadBIOS möglich? Teil 6: Stolperstein USB-Firmware und mehr

Trackbacks

Dipl.-Inform. Carsten Eilers am : Verdächtig: Die NSA hat einen Werkzeugkasten, in den auch BadBIOS passt

Vorschau anzeigen
Die NSA gehört zu den klassischen "Jägern und Sammlern". Der erste Gedanke der NSA-Mitarbeiter, wenn sie irgend welche Daten sehen, ist vermutlich "Das müssen wir alles speichern, man könnte es ja mal brauchen!" Und dafür br

Dipl.-Inform. Carsten Eilers am : Wie vertrauenswürdig ist "Hardware" eigentlich?

Vorschau anzeigen
Aus aktuellen Anlass mal eine Frage: Vertrauen Sie ihrem Rechner und ihrem Smartphone? Also dem reinen Gerät, nicht der installierten Software? Wenn ja: Warum eigentlich? Der aktuelle Anlass... Die Chinesen kopieren wirklich alles, wa

Dipl.-Inform. Carsten Eilers am : BadUSB - Ein Angriff, der dringend ernst genommen werden sollte

Vorschau anzeigen
BadUSB klingt erst mal wie eine Anspielung auf BadBIOS, und diesen "Superschädling" nimmt ja wohl kaum noch jemand ernst. In sofern ist der Name vielleicht schlecht gewählt. Andererseits ist dieser Name Programm, denn jedes USB-Gerät

Dipl.-Inform. Carsten Eilers am : USB-Sicherheit - Ein Überblick

Vorschau anzeigen
2014 wurden mit BadUSB und der angeblich beim Laden über USB den Strom spendenden Rechner mit Schadsoftware infizierenden E-Zigarette zwei neue kritische Angriffe auf/über USB gemeldet. Das schreit nach einem Überblick über di

Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 2.2015 - Stand das Internet 2014 in Flammen?

Vorschau anzeigen
Im Entwickler Magazin 2.15 ist ein Artikel über die "prominenten" Schwachstellen und Angriffe des Jahres 2014 erschienen. Also die, die mit Namen versehen wurden, was ja zuvor ziemlich selten passierte, 2014 aber fast üblich wurde. Au&

Dipl.-Inform. Carsten Eilers am : Die "Equation Group", Carbanak, JASBUG - Namen sind in!

Vorschau anzeigen
Es gibt neue Angriffe und Schwachstellen mit mehr oder weniger schönen Namen: Die "Equation Group", den Schädling Carbanak, und den JASBUG. Mit dem sich seine Entdecker gerne ein Denkmal setzen würden. Die "Equation Group" - Cyberk

Dipl.-Inform. Carsten Eilers am : Neues eBook: "Websecurity - Jahresrückblick 2014"

Vorschau anzeigen
"Websecurity - Jahresrückblick 2014" ist als eBook bei entwickler.press erschienen. Im ersten Kapitel dreht sich alles um die Angriffe auf und Schwachstellne in SSL und TLS, im zweiten Kapitel geht es um die weiteren prominenten Angri

entwickler.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Dipl.-Inform. Carsten Eilers am : Geht im Bundestag BadBIOS um? Mein Kommentar auf entwickler.de!

Vorschau anzeigen
Im Bundestag muss nach dem Cyberangriff die IT ausgetauscht werden. Wenn die wirklich die Hardware tauschen müssen, haben sie sich wohl so etwas wie BadBIOS eingefangen. Dabei gibt es den doch angeblich gar nicht. Einen Kommentar dazu

Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 5.18 - Angriffsziel Firmware

Vorschau anzeigen
Im Windows Developer 5.18 ist ein Artikel über Angriffe auf und Schwachstellen in der Firmware erschienen. Die Firmware (egal ob das klassische BIOS oder seine Nachfolger (U)EFI) stellt die Verbindung zwischen Hardware und Betriebssys

entwickler.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.