Mebromi: el primer bootkit de BIOS
Cuando hablamos acerca de los códigos maliciosos, debemos tener en cuenta cuáles son son sus objetivos, cuál es su función. En ciertas ocasiones presentamos informes y noticias acerca de los códigos maliciosos del tipo bot, que le brindan a un atacante el acceso al equipo de manera remota, troyanos bancarios que modifican el sistema con el objetivo de obtener el acceso a las cuentas bancarias del usuario. En esta oportunidad vamos a hablar acerca de un rootkit que modifica el BIOS del equipo: Membroni.
Este código malicioso, que busca reescribir la BIOS (Basic Input/Output System, en español, Sistema Básico de Entrada y Salida) de la empresa Award BIOS fue analizado por investigadores que redactaron un interesante informe acerca de su actividad. Para lograr su cometido, esta amenaza cuenta con un conjunto de técnicas y herramientas que valen la pena comentar. La infección del sistema es a través de un código malicioso que contiene cinco archivos cifrados en su interior:
El archivo bios.sys es el driver con el cual se efectúa la infección de la BIOS. Para ello, necesita ubicar en la memoria de la computadora, una dirección específica: 0xF0000. Allí, es donde suele encontrarse la ROM (Read Only Memory, en español, Memoria de solo Lectura) de la BIOS. En el caso de que la BIOS sea de Award BIOS, se lleva a cabo la infección.
En esta etapa, cuando la BIOS es infectada, el rookit guarda una copia de la original en la ruta “C:\bios.bin” para luego continuar con el componente de la infección que se ejecuta en modo usuario. Entonces, se utilizan otros dos archivos (cbrom.exe y hook.rom) con la finalidad de inyectar el código malicioso en la BIOS. Sin embargo, antes de realizar tal inyección de código, el malware corrobora que la BIOS no se encuentre infectada. Una vez que la BIOS se encuentra modificada, el siguiente paso es infectar la MBR. Uno de los objetivos de esta técnica es lograr que en el siguiente inicio del sistema, se modifiquen los archivos winlogon.exe y wininit.exe, alterando su punto de entrada; de forma tal que al ejecutarse en primer término se descargue otro código malicioso cuando el usuario inicie sesión.
En conclusión, si bien el desarrollo de este tipo de códigos maliciosos no es algo trivial ni habitual, es uno de los método de infección más persistentes que se puede encontrar. ya que por más que se formatee el disco y se vuelva a instalar el sistema operativo, lo que se ha comprometido es la BIOS del equipo. Aunque se conocen otros códigos maliciosos, como TDL, que infectan la MBR, Membroni es el primer código malicioso que infecta la BIOS del sistema.
Fuente: ESET Latinoamérica
Este código malicioso, que busca reescribir la BIOS (Basic Input/Output System, en español, Sistema Básico de Entrada y Salida) de la empresa Award BIOS fue analizado por investigadores que redactaron un interesante informe acerca de su actividad. Para lograr su cometido, esta amenaza cuenta con un conjunto de técnicas y herramientas que valen la pena comentar. La infección del sistema es a través de un código malicioso que contiene cinco archivos cifrados en su interior:
- hook.rom
- flash.dll
- cbrom.exe
- my.sys
- bios.sys
El archivo bios.sys es el driver con el cual se efectúa la infección de la BIOS. Para ello, necesita ubicar en la memoria de la computadora, una dirección específica: 0xF0000. Allí, es donde suele encontrarse la ROM (Read Only Memory, en español, Memoria de solo Lectura) de la BIOS. En el caso de que la BIOS sea de Award BIOS, se lleva a cabo la infección.
En esta etapa, cuando la BIOS es infectada, el rookit guarda una copia de la original en la ruta “C:\bios.bin” para luego continuar con el componente de la infección que se ejecuta en modo usuario. Entonces, se utilizan otros dos archivos (cbrom.exe y hook.rom) con la finalidad de inyectar el código malicioso en la BIOS. Sin embargo, antes de realizar tal inyección de código, el malware corrobora que la BIOS no se encuentre infectada. Una vez que la BIOS se encuentra modificada, el siguiente paso es infectar la MBR. Uno de los objetivos de esta técnica es lograr que en el siguiente inicio del sistema, se modifiquen los archivos winlogon.exe y wininit.exe, alterando su punto de entrada; de forma tal que al ejecutarse en primer término se descargue otro código malicioso cuando el usuario inicie sesión.
En conclusión, si bien el desarrollo de este tipo de códigos maliciosos no es algo trivial ni habitual, es uno de los método de infección más persistentes que se puede encontrar. ya que por más que se formatee el disco y se vuelva a instalar el sistema operativo, lo que se ha comprometido es la BIOS del equipo. Aunque se conocen otros códigos maliciosos, como TDL, que infectan la MBR, Membroni es el primer código malicioso que infecta la BIOS del sistema.
Fuente: ESET Latinoamérica
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!