Ist BadBIOS möglich? Teil 3: Angriffe auf mehrere Systeme und mehr
In dieser Folge dreht sich weiter alles um die Frage, ob ein Super-Schädling wie es der von Dragos Ruiu beschriebene BadBIOS sein soll, möglich ist. Sprich, ob seine Funktionen so oder so ähnlich bereits irgendwo implementiert wurden. Diesmal geht es nach der Infektion des BIOS und Angriffe auf und über USB-Geräte zuerst um die Angriffe auf mehrere Betriebssysteme.
Sind Angriffe auf mehrere Betriebssysteme möglich?
Im folgenden werde ich die (angeblichen?) Fähigkeiten von BadBIOS der Reihe nach auf ihre Machbarkeit untersuchen. Ich richte mich dabei wieder an die Reihenfolge der Fähigkeiten in meiner Beschreibung von BadBIOS.
Die Schadsoftware infiziert verschiedene Windows- und Linux-Versionen, Mac OS X und OpenBSD.
Schadsoftware, die mehr als ein System angreifen kann, gab es schon öfter. Zum Beispiel in der Kombination Mac OS X und Windows oder Windows, Mac OS X und Linux. Diese beiden Schädlinge waren zwar Java-Basiert, aber nichts und niemand hindert einen Angreifer daran, Exploits oder komplette Schädlinge für mehr als ein System zu entwickeln oder zu kaufen und dann je nach vorgefundenen System den passenden Angriff zu starten. Ein Java-unabhängiges Beispiel dafür ist der DNS-Changer mit seinen vielen Varianten, unter anderem für Windows und Mac OS X.
Fazit: Ein Schädling, der mehrere Betriebssysteme angreift, ist möglich
Auf infizierten Windows-Systemen erscheinen zusätzliche
.TTF- und .FON-Dateien.
Erst mal ist das Anlegen solcher Dateien kein Problem. Wieso sollte es das auch? Interessanter ist die Frage, wieso ein Schädling das machen sollte. Nun, dafür gibt es mehrere Möglichkeiten, zum Beispiel:
- Die Dateien könnten Exploits für Schwachstellen in irgend welchen Programmen enthalten, mit denen diese Dateien geöffnet werden (können).
- Die Dateien sind nicht das, was sie zu sein vorgeben, sondern
enthalten Bestandteile von BadBIOS, unter Umständen getarnt und/oder
zusätzlich zu den eigentlichen Inhalten. Zum Beispiel könnten die
.TTF-Fontdateien zusätzlich zu einem Zeichensatz noch Code für BadBIOS enthalten. - Die Dateien sind das, was sie zu sein vorgeben, und werden von BadBIOS für was auch immer benötigt.
- ...
Der Vollständigkeit halber möchte ich noch feststellen, dass es bereits mindestens einen Schädling gab, der aus unbekannten Gründen einen Font auf den infizierten Systemen installiert hat: Der Cyberwar-Schädling Gauss installierte den Font "Palida Narrow". Warum, ist immer noch nicht bekannt. Der Nebeneffekt der Installation war, dass man infizierte Systeme durch Aufruf einer entsprechenden Webseite erkennen konnte: Ist der Font installiert, ist es (mit ziemlich hoher Sicherheit) auch Gauss.
Fazit: Ein Schädling kann natürlich
.TTF- und .FON-Dateien installieren.
Sollen diese Dateien gesichert werden, erscheinen sie nicht auf einer gebrannten CD.
Ich wiederhole mich an dieser Stelle mal etwas: Da der Schädling die vollständige Kontrolle über den Rechner hat, kann er tun und lassen, was er will. Er kann sich also auch in den Brennvorgang der CD einschalten und "seine" Dateien ausfiltern oder das Brennen wie auch immer sonst noch manipulieren.
Fazit: Die Manipulation des CD-Brennens ist möglich.
An dieser Stelle weiche ich von der Reihenfolge etwas ab. Um das eigentlich jetzt folgende Überwinden der Air-Gaps zu beschreiben brauche ich etwas mehr Platz als ich hier noch verbrauchen möchte. Weiter geht es daher mit dem Punkt
Die Kommunikation von BadBIOS mit seinen Command&Control-Servern erfolgt über per TLS verschlüsselte DHCP-HostOptions-Felder und über IPv6 - letzteres auch, wenn IPv6 auf dem infizierten Rechner ausgeschaltet ist.
Das sind gleich mehrere Wünsche auf einmal, aber alle lassen sich problemlos erfüllen: Die Kommunikation von BadBIOS mit seinem Command&Control-Servern erfolgt ...
- ... über per TLS verschlüsselte DHCP-HostOptions-Felder: TLS ist ein Standard, DHCP ist ein Standard, beides kann man natürlich kombinieren, fertig. Die Suche nach einem Beispiel erspare ich mir.
- ... über IPv6: Warum auch nicht? OK, IPv6 ist nicht so extrem weit verbreitet, aber warum sollte der Schädling es nicht nutzen, wenn es da ist?
- ... über IPv6, obwohl IPv6 auf dem infizierten Rechner ausgeschaltet ist: Erstens kann der Schädling IPv6 ganz einfach einschalten und dann diesen Status vor dem Benutzer verbergen (wir erinnern uns: Der Schädling hat die vollständige Kontrolle über den Rechner ...), und zweitens kann er auch einfach einen eigenen TCP/IP-Stack verwenden. Für letzteres gibt es bereits Beispiele "in the wild", zum Beispiel das Bootkit Rovnix.
Fazit: Die Kommunikation über beliebige Netzwerkprotokolle ist natürlich möglich, bei Bedarf kann auch ein eigener TCP/IP-Stack eingesetzt werden.
Zugriffe auf russische Websites, die sich mit dem Flashen von Controllern befassen, werden blockiert.
Das ist mal wieder einfach: Erstens hat der Schädling die vollständige Kontrolle über den Rechner und kann tun und lassen, was er will. Aber das hatte ich ja schon das eine oder andere Mal erwähnt. Und zweitens ist Schadsoftware, die den Zugriff auf bestimmte Websites (mit Vorliebe die der Antivirenhersteller etc.) verhindert, ein alter Hut. Und das es diesmal die Websites, die sich mit dem Flashen von Controllern befassen, betrifft, ist nahe liegend: BadBIOS flasht ja selbst die Firmware der USB-Geräte und das BIOS und möchte natürlich verhindern, dass ihm jemand (zu schnell) auf die Pelle rückt.
Fazit: Den Zugriff auf ausgewählte Websites zu blockieren ist möglich und eine alt bewährte Taktik.
In der nächsten Folge geht es wie oben schon indirekt angekündigt um das Überwinden von Air-Gaps über Audio-Signale.
Übersicht über alle Artikel zum Thema
- BadBIOS - Ein neuer Superschädling?
- Ist BadBIOS möglich? Teil 1: Die Infektion des BIOS
- Ist BadBIOS möglich? Teil 2: USB-Manipulationen
- Ist BadBIOS möglich? Teil 3: Angriffe auf mehrere Systeme und mehr
- Ist BadBIOS möglich? Teil 4: Air-Gaps über Audiosignale überbrücken
- Ist BadBIOS möglich? Teil 5: Stolperstein BIOS
- Ist BadBIOS möglich? Teil 6: Stolperstein USB-Firmware und mehr
Trackbacks