امنیتمقاله

BadBIOS چیست آیا یک بدافزار است یا یک توهم؟

توسط مهران
0 489
Telegram_GEEKBOY

آیا سپری کردن یک عمر در زمینه‌ی بررسی حملات مخفیانه‌ی بدافزارهای رایانه‌ای می‌تواند انسان را دچار توهم توطئه یا مشکل روانی کند؟ این توضیحی است که برخی از افراد در مورد BadBIOS ، بدافزاری فوق‌العاده مخفی‌کار که دراگوس رویو (Dragos Ruiu)، متخصص امنیت، ادعا می‌کند سال‌ها با آن دست به گریبان است، پیشنهاد می‌کنند.


بر اساس مصاحبه‌ها و نوشته‌های آقای رویو، شروع ماجرا از سه سال پیش بود که ثابت‌افزار سامانه‌های مبتنی بر OSX در شرکت وی، به طور خودکار و بدون کسب مجوز به‌روزسانی شدند. بررسی بیشتر، پرونده‌ها و تغییرات مشکوک دیگری را نیز در سامانه‌ی عامل نشان داد.
رویو در مصاحبه با Threatpost گفته بود: «هرچه بیشتر بررسی می‌کردیم، [مسأله] عجیب‌تر می‌شد.»

اهمیت مسأله برای رویو – محقق و مشاور امنیت – بسیار زیاد بود: آلودگی شبکه‌ی شرکت او می‌توانست به اعتبار آن شدیداً لطمه زده و مشتریان را نیز در معرض خطر قرار دهد.

به گفته‌ی وی، این نشانه‌ی اولیه منجر به سال‌ها بازی موش و گربه به دنبال منشاء آلودگی‌ها شد. نشانه‌های آلودگی همه جا وجود داشتند: سی‌دی‌رام‌ها و حافظه‌های USB از کار افتاده، ظهور پرونده‌های عجیب بر روی رایانه‌هایی که به هیچ بدافزاری آلوده نبودند، تغییرات به نطر تصادفی و بدون مجوز در رجیستری سامانه و ….

اما رویو و تیم وی هرگز نتوانستند یک برنامه‌ی خاص را پیدا کنند که عامل این تغییرات باشد. به نظر می‌رسید آن‌ها به دنبال هرچه که بودند، می‌توانست از هرگونه تلاش برای بررسی‌های جرم‌شناسی بگریزد و تمام آثار خود را بلافاصله پس ایجاد، از میان ببرد.

به گفته‌ی آقای رویو، در یک برهه از زمان، مهاجمان «بر روی تمام رایانه‌های ما ترجان‌های کنترل از راه دور داشتند. حداقل بر روی رایانه‌هایی که بررسی کردیم.» اما نکته اینجاست که هیچ‌کدام از این تروجان‌ها قابل یافت و تحلیل نبوده‌اند.

آقای رویو و تیم وی که از یافتن و حذف این بدافزار ناامید شدند، در عوض شروع به ور رفتن با آن کردند؛ مانند غیرفعال کردن قطعات مختلف سامانه و دستکاری در بخش‌هایی از هارددیسک که به نظر می‌رسید بدافزار از آن استفاده می‌کند. آن‌ها کارت های بلوتوث و وای‌فای را از سامانه حذف کردند تا بدافزار امکان ایجاد ارتباط از طریق آن‌ها را نیز نداشته باشد.

در نهایت او همکاارانش به این نتیجه رسیدند که منشاء آلودگی چیزی است که با نام ویروس «بوت سکتور» شناخته می‌شود. البته این بدافزار، چیزی عادی مشابه با ویروس بوت سکتور چرنوبیل (CIH) که در سال 1999 منتشر شده بود، نیست. این بدافزار که رویو آن را با نام BadBIOS نامگذاری کرد، می‌تواند رایانه‌های ویندوز، OSX و OpenBSD را آلوده کند. از نظر او این بدافزار خود را به صورت تکه‌های بسیار ریز تقسیم کرده و «با اتصال به شبکه تکه‌های خود را بارگیری می‌کند» اما این تکه‌ها رمزنگاری شده‌اند و قابل تحلیل و شناسایی توسط ضدبدافزار نیستند.

با وجود این، این بدافزار بسیار پیچیده است: این بدافزار حتی در صورت بازنویسی مجدد BIOS در یک سامانه‌ی کاملاً ایزوله نیز جان سالم به در برده و می‌تواند از پروتکل IPV6 برای ارتباط استفاده کند، حتی اگر این پروتکل بر روی سامانه‌ی مورد نظر غیرفعال شده باشد. علاوه بر این BadBIOS می‌تواند با سایر رایانه‌های آلوده به BadBIOS از طریق امواج صوتی با فرکانس بالا، به وسیله میکروفن و بلندگو ارتباط برقرار کند. رویو در گفتگو با Threatpost می‌گوید این بدافزار به صورت دوره‌ای میکروفن سامانه را روشن کرده و به ضبط صحبت‌های افراد می‌پردازد.

حالا که به اینجای بحث رسیده‌ایم، بهتر است یادآور شویم که دراگوس رویو در زمینه‌ی امنیت رایانه، فردی عادی نیست. او یکی از معتبرترین محققان امنیتی جهان بوده و از ترتیب‌دهندگان برخی از مهمترین رویدادهای این صنعت، از جمله CanSecWest، PacSec و مسابقه‌ی امنیت سایبری Pwn2Own است.

اما حتی با داشتن این سابقه نیز، اعلام اینکه شما به یک بدافزار نامرئی آلوده شده‌اید که هر بار تلاش می‌کنید آن را بیابید، تغییر شکل می‌دهد، می‌تواند اعتبارتان را خدشه‌دار کند. برخی به شوخی، بدافزار BadBIOS را heisenbug نامیده‌اند. (heisenbug به هر اشکال نرم‌افزاری می‌گویند که موقعی که قصد بررسی آن را دارید، خود به خود رفع یا ناپدید می‌شود.)

ازجهت دیگر، «ور رفتن» با بدافزار، رویه‌ی معمول در میان متخصص‌های امنیتی نیست. اگر بدافزاری را پیدا کردید، آن را در یک سندباکس قرار داده و عمل‌کرد آن را مشاهده می‌کنید. و یا از ابزاری مانند PCAP برای ثبت ترافیک شبکه‌ی سامانه‌ی آلوده به بدافزار و تحلیل آن استفاده می‌کنید.

با وجود این، اطلاعاتی که رویو از این بدافزار برای بررسی توسط افراد دیگر منتشر کرده است، از جمله نسخه‌ای از BIOS یکی از سامانه‌های آلوده، هیچ چیز مشکوکی نداشته‌اند، چه رسد به نشانه‌ای قطعی از وجود بدافزار.

تمام متخصصینی که از این ماجرا مطلع شده‌اند، بر این موضوع توافق دارند: تمام رفتاری که آقای رویو در مورد بدافزار BadBIOS توصیف کرده است، محتمل و حتی قابل اجرا هستند. و با در نظر گرفتن تخصص وی در حوزه‌ی امنیت، حتی اگر وی دچار توهم نیز شده باشد، توهم وی قابل توجه و قابل استفاده است و این درسی است که می‌توان از ماجرای BadBIOS گرفت. شاید این بدافزار واقعی نباشد. شاید آقای رویو نیاز به استراحت داشته باشد. اما حرف‌های او در مورد این بدافزار – حتی اگر توهم محض باشد – قابل اعتنا هستند. بسیاری از بردارهای حمله‌ای که او در مورد این بدافزار ترسیم کرده، از نظر فنی امکان‌پذیر هستند و تحت شرایط مناسب می‌توانند نوعی آلودگی را ایجاد کننتد که آقای رویو معتقد است سامانه‌های وی را آلوده کرده است و با قدرتمندتر و کوچکتر شدن سامانه‌های رایانه‌ای و حسگرهای آن‌ها، می‌توانید انتظار داشته باشید که مهاجمان راه‌هایی را برای سوءاستفاده از آن‌ها بیابند. افراد زیادی هستند که اعتقاد دارند دراگوس رویو دچار مشکل روانی شده است. اما افرادی نیز (با نیات مخرب یا غیرمخرب) وجود دارند که حرف‌های وی را کاملاً جدی می‌گیرند.

منبع: news.asis

در صورت خرابی لینک در قسمت نظرات یا ایمیل به ما اطلاع دهید

مهران 785 posts 185 comments
ممکن است شما دوست داشته باشید بیشتر از نویسنده
ارسال یک نظر

آدرس ایمیل شما منتشر نخواهد شد.

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.