¿Realidad o Ciencia ficcion?Conozca a "badBIOS", el misterioso malware de Mac y PC que salta entre circuitos

por diemmatotal Siempre Evolucionando para Ud  -  4 Noviembre 2013, 15:11  -  #Tecnologia

Al igual que una cepa de una super bacteria, el rootkit que azota a Dragos Ruiu es omnipotente



Hace tres años, el consultor de seguridad Dragos Ruiu se encontraba en su laboratorio cuando se dio cuenta de algo muy inusual: el MacBook Air, en la que recién instaló una nueva copia de OS X, de forma espontánea actualizó el firmware de arranque. Más extraño aún, cuando Ruiu luego trató de arrancar la máquina desde un CD-ROM, se negó. También descubrió que la máquina podía borrar datos y deshacer los cambios de configuración sin preguntar. Él no lo sabía entonces, pero la extraña actualización del firmware se convertiría en un misterio de malware de alto riesgo que consumiría la mayor parte de sus horas de vigilia.

En los meses siguientes, Ruiu observó fenómenos más extraños que parecían ser el guión de una película de ciencia-ficción. En un equipo que ejecutó el sistema operativo BSD de código abierto también comenzó a modificar su configuración y borrar sus datos sin explicación o sin preguntar. Su red transmitía datos específicos de Internet con el protocolo de red IPv6 de nueva generación , incluso de equipos que se supone que tienen IPv6 completamente deshabilitadas. Lo más extraño de todo fue la capacidad de los equipos infectados para transmitir pequeñas cantidades de datos de la red con otras máquinas infectadas aun cuando sus cables de alimentación y los cables Ethernet fueron desconectados y su Wi-Fi y las tarjetas Bluetooth se retiraron. La investigación adicional demostró pronto que la lista de los sistemas operativos afectados también incluye múltiples variantes de Windows y Linux.

"Estábamos perplejos, estamos totalmente admirados," dijo Ruiu Ars. " Tuvimos entonces que borrar todos nuestros sistemas y empezar desde cero ", lo cual hicimos. Fue algo muy doloroso. He estado paranoico desde entonces."

En el intervalo de tres años, dijo Ruiu, las infecciones se han mantenido, casi como una cepa de bacteria que es capaz de sobrevivir a los tratamientos antibióticos extremos . En cuestión de horas o semanas de limpiar un ordenador infectado y dejarlo limpio, el extraño comportamiento volvía. El signo más visible de contaminación es la incapacidad de una máquina para arrancar desde un CD, pero otros comportamientos más sutiles se observaron cuando se utilizaron herramientas como el Monitor de procesos , que está diseñado para las investigaciones forenses de solución de problemas .

Otra característica interesante: además de saltar "entre circuitos" diseñado para los equipos aislados e infectados o sensible de todos los demás equipos de la red, el malware parece tener la capacidad de auto-sanación.

"Teníamos un equipo libre de todo que se acababa de reprogramar el [firmware] BIOS, un disco duro virgen instalado y con cero datos en él, en el cual se le instaló windows desde el CD ", dijo Ruiu. . "En un momento, estábamos editando algunos de los componentes cuando el editor del registro se desactivo. Era como: Espera un minuto, ¿Cómo puede suceder eso? ¿Cómo puede reaccionar la máquina así y atacar el software que estamos utilizando para atacarlo? Se trata de una máquina libre de todo y de repente, la función de búsqueda en el editor de registro dejó de funcionar cuando estábamos usándolo para buscar las llaves ".

En las últimas dos semanas, Ruiu ha tomado a Twitter, Facebook y Google Plus para documentar su odisea de investigación y compartir una teoría que ha capturado la atención de algunos de los expertos en seguridad más importantes del mundo. Ruiu cree, que el malware se transmite por medio de las unidades USB para infectar a los niveles más bajos del hardware en el equipo. Con la posibilidad de orientarse entre una computadora Basic Input / Output System (BIOS) , Unified Extensible Firmware Interface (UEFI) y posiblemente de otras formas en el firmware, el software malicioso puede atacar a una amplia variedad de plataformas, escapar de las formas más comunes de detección, y sobrevivir a la mayoría de los intentos para eliminarla.

Pero la historia se vuelve más extraño aún, Ruiu postuló otra teoría que suena como algo del guión de una película post-apocalíptica: "badBIOS", como Ruiu ha apodado al malware, tiene la capacidad de utilizar transmisiones de alta frecuencia pasan entre los altavoces del ordenador y los micrófonos para saltar entre circuitos.

Pie grande en la era de la amenaza persistentemente avanzada

A l informarme de esta historia, su contorno me ha parecido una leyenda urbana, la amenaza persistentemente avanzada me es equivalente de un avistamiento a Pie grande. En efecto, Ruiu ha admitido que, si bien varios compañeros expertos en seguridad han ayudado a su investigación, no tiene revisado sus métodos o los resultados provisionales que se están comenzando a dibujar. (Una recopilación de las observaciones de Ruiu esta aquí).

También es inexplicable porqué Ruiu es el elegido para un ataque tan avanzada y exótico. Como profesional de seguridad, organizador de las conferencias internacionalmente reconocidas CanSecWest y PacSec y fundador del concurso de hacking Pwn2Own , es sin duda un objetivo atractivo para los espías patrocinados por el estado y para los hackers motivados financieramente. Pero él no es un objetivo más atractivo que otros cientos o miles de sus compañeros, que hasta el momento no han informado de esta clase de fenómenos extraños que ha afectado a los ordenadores y redes de Ruiu.

En contraste con el escepticismo que es común en la cultura de seguridad y la piratería, los compañeros de Ruiu han respondido principalmente con preocupación profunda e incluso la fascinación de sus entornos sobre badBIOS.

"Todo el mundo en el medio de seguridad tiene que seguir a @ dragosr y ver su análisis de # badBIOS," Alex Stamos, uno de los investigadores de seguridad más confiables y sobrios, fue lo que escribió en Twitter la semana pasada . Jeff Moss, fundador de Defcon y de las conferencias de seguridad Blackhat quien en 2009 comenzó a asesorar a la Secretaria del Departamento de Seguridad Nacional, Janet Napolitano en materia de seguridad informática- retuiteo la declaración , y añadió: "No es broma, es muy serio." Muchos otros están de acuerdo.

"Dragos es sin duda alguien fiable, y nunca he pensado ni remotamente que sea deshonesto," aseguró el investigador de seguridad Arrigo Triulzi a Ars. "Nada de lo que él describe es ciencia ficción tomados individualmente, pero es algo que nunca he presenciado".

Estuve ahí, hice eso

Triulzi dijo que ha visto un montón de firmware con códigos maliciosos en el laboratorio. Un cliente suyo una vez infectó el BIOS UEFI de su ordenador portátil Mac como parte de un experimento. Hace cinco años, el propio Triulzi desarrolló un malware en una prueba de concepto que infectaba sigilosamente los controladores de la interfaz de red integrado en una placa base de una PC y logró capturar la Ethernet que conectaba el equipo a una red. Su investigación se realizó fuera del trabajo de John Heasman que demostró cómo infectar y hacer difícil la detección de un malware, conocido como un rootkit en interconexión de componentes periféricos de un ordenador, la conexión desarrollada por Intel une los dispositivos de hardware en una CPU.

También es posible utilizar los sonidos de alta frecuencia emitidas por los altavoces para enviar paquetes de red. En estándares de redes iniciales utilizaron la técnica, dijo el experto en seguridad Rob Graham. Igualmente las basadas en Redes ultra sónicas que son objeto de una gran cantidad de investigación, incluyendo el proyecto de los científicos del MIT .

Por supuesto, que los investigadores en el laboratorio deben demostrar que es viable los rootkits de firmware que infecten y que hagan uso de las técnicas de redes en alta y ultra frecuencia. Pero, como sugiere Triulzi, es completamente distinto fusionar perfectamente las dos técnicas y otra poder utilizar el arma en el mundo real contra un experimentado consultor de seguridad. Lo que es más, el uso de una memoria USB para infectar una gran variedad de plataformas informáticas a nivel del BIOS del sistema es algo útil que se encuentra en el gusano Stuxnet patrocinado por el gobierno de un país que fue liberado para interrumpir el programa nuclear de Irán . La capacidad reportada en badBIOS de saltar entre circuitos también tiene paralelos con Flame, otra pieza patrocinada por el gobierno, el malware envía señales de radio Bluetooth para comunicarse con los dispositivos que no están conectados a Internet .

"En realidad, todo lo que informa Dragos es algo que está dentro de las capacidades de un montón de gente", dijo Graham, quien es director general en pruebas de penetración de la empresa Errata Security. "Podría, si me pasé un año, escribir un BIOS que haga todo lo que Dragos mencionó sobre badBIOS. Para comunicarse a través de las ondas sonoras de alta y ultra frecuencia entre ordenadores es muy, muy fácil."

Coincidentemente, los periódicos italianos informaron esta semana que los espías rusos trataron de controlar a los asistentes a la cumbre económica del G-20 el mes pasado al darles tarjetas de memoria (USB) infectadas para interceptar sus comunicaciones.

Eureka

En los tres años que Ruiu ha estado luchando con badBIOS, su mecanismo de infección sigue siendo un misterio. Uno o dos meses atrás, después de comprar un equipo nuevo, se dio cuenta de que estaba infectado casi inmediatamente tan pronto como se conecto una de sus unidades USB en el mismo. Pronto surgió la teoría de que los ordenadores infectados tienen la capacidad de contaminar los dispositivos USB y viceversa.

"La sospecha en este momento es que hay algún tipo de desbordamiento de búfer en la forma en que el BIOS lee la unidad en sí, y así reprogramar el controlador de la memoria flash para desbordar el BIOS y luego agregar una sección al código del BIOS", explicó.

Todavía no se sabe si una memoria USB fue el detonante de infección inicial en su MacBook Air hace tres años, o si los dispositivos USB se infectaron sólo después de que entraron en contacto con sus máquinas comprometidas, que según afirmó hoy el número está entre uno y dos docenas. Agrego que ha sido capaz de identificar una variedad de dispositivos USB que infectan a cualquier computadora al estar conectadas. En la conferencia de PacSec del próximo mes, Ruiu dijo que planea tener acceso a los costosos análisis del hardware del USB para así ofrecer nuevas pistas detrás del mecanismo de infección.

Él mencionó que sospecha que badBIOS es sólo el módulo inicial entre varias etapas que tiene la capacidad de infectar a los sistemas operativos Windows, Mac OS X, BSD y Linux.

"Se va a lo largo de la red para obtener algo o que se lleva en la llave USB que se infectó de eso" teorizó. "Esa es también la conjetura de el porqué no permite el arranque de los CDs. Está tratando de mantener sus garras, por así decirlo, en la máquina. No desea arrancar otro sistema operativo que no tenga el código."


Para decirlo de otra manera, dijo, badBIOS "es sólo la punta del iceberg, por así decirlo."

"Las cosas parecen recuperarse"

Ruiu dijo que llegó a la teoría sobre la capacidad de red de alta frecuencia de badBIOS después de observar los paquetes de datos cifrados que se envían desde un ordenador portátil infectado que no tenía ningún tipo de conexión con la red, pero estaba muy cerca a otro equipo infectado con badBIOS . Los paquetes se transmiten incluso cuando el portátil tiene su Wi-Fi y su tarjeta Bluetooth deshabilitadas. Ruiu también desconectó el cable de alimentación de la máquina por lo que sólo funcionaba con la batería para descartar la posibilidad de que se estaba recibiendo señales a través de la conexión eléctrica. Incluso entonces, las herramientas forenses mostraron que los paquetes continuaron a fluir sobre la máquina infectadas. Entonces, cuando Ruiu retiró el altavoz interno y el micrófono conectado a la máquina infectada, los paquetes se detuvieron de repente.

Con los altavoces y el micrófono funcionando, dijo Ruiu, el ordenador aislado parecía estar usando la conexión de alta frecuencia para mantener la integridad de la infección con badBIOS mientras se trabajaba en limpiar el malware en los sistema con herramientas basados en software.

"La máquina con limitados acceso de red estaba actuando como si estuviera conectado a Internet", dijo. "La mayoría de los problemas que estábamos teniendo es que intentábamos deshabilitar algunos componentes del sistema, pero se reparaba automáticamente tan pronto como tratamos de eliminarlos. Era extraño."

Es demasiado rápido asegurar que Ruiu ha estado observando a un rootkit infectado por USB que puede esconderse en los niveles más profundos de una computadora y usarlo como un punto de partida para infectar una gran variedad de sistemas operativos con malware que no puede ser detectado . Es aún más difícil saber a ciencia cierta que los sistemas infectados pueden utilizar sonidos de alta frecuencia para comunicarse con las máquinas aisladas. Pero después de casi dos semanas de discusión en línea, nadie ha sido capaz de descartar estos escenarios inquietantes, tampoco.

"Parece que el arte en materia de intrusión es mucho más avanzado de lo que imaginamos," concluyo Ruiu en una entrevista. "La moraleja de esto es que muchos de nuestros procedimientos forenses son débiles cuando se enfrentan a retos como este. Muchas empresas tienen que tener mucho más cuidado cuando se utilizan los datos forenses si están enfrentados con atacantes realmente sofisticados."

 

Existe gran escepticismo entre los expertos en seguridad alrededor de este nuevo súper malware 'badBIOS'..

La historia contada por su descubridor parece un poco de 'ciencia ficción'... pero, pero... si recordamos que no hace mucho se descubría un malware como lo fue Stuxnet el cual ya tenía varios años dando vueltas sin ser detectado y con una metodología nunca antes vista hasta ese momento... pues podemos decir que en el mundo informático nada es imposible y tampoco lo seria badBIOS.

Y si bien quien lo descubrió/reporto es Dragos Ruiu un conocido experto en seguridad informática, director de CanSecWest, EUSEC y creador de las conferencias de seguridad PacSec.

Justamente se espera que para esta próxima conferencia 'PacSec 2013 de Tokio' a realizarse desde este 13 de noviembre, se revele o bien mas información, samples y pruebas fehacientes de 'badBIOS' o se cuente si se trató de algún tipo de experimento social para la publicidad de dicho evento.


Por lo que será cuestión despertar unos días para conocer "la verdad de la milanesa" o mejor dicho "la verdad detrás de badBIOS".

 

 

                                                                                                                                                        Extraido de:forospyware.com

Para estar informado de los últimos artículos, suscríbase: