badBIOS ¿Truco o trato?

Hace unos días, Dragos Ruiu (@dragosr) dio a conocer una investigación en la que lleva trabajando desde hace unos tres años en completo silencio. El objeto de su estudio sería un supuesto malware del que habría sido víctima, denominado por él mismo como "badBIOS". Esto no sería noticia de no ser por la cantidad de dudas que el asunto está arrojando debido sobre todo a las supuestas características que badBIOS, según Dragos, posee. La comunidad está dividida entre los que decididamente creen que la historia de Dragos puede ser un bulo y los que piensan que un malware así es teóricamente posible si hay detrás un ente con la suficiente financiación y medios para hacerlo real.

Dragos Ruiu

Dragos Ruiu es un conocido investigador de seguridad canadiense, sobre todo por ser el creador del concurso Pwn2Own, en el cual se compite por comprometer sistemas y dispositivos móviles con vulnerabilidades no publicadas previamente. Este concurso forma parte de la conferencia de seguridad anual CanSecWest.

La historia comienza hace tres años, cuando Dragos se percató que su portátil, un Apple MacBook Air con el sistema recién instalado, actualizó de pronto el firmware del equipo. Extrañado, intentó arrancar sin éxito su máquina desde una unidad de CDROM. También notó como el sistema comenzaba a cambiar la configuración de ciertos parámetros sin notificación alguna. A partir de ahí, relata Ruiu, comenzó una carrera contra un incomodo invitado difícil de cazar.

Meses después observó idéntico comportamiento en otra máquina con un sistema BSD instalado. El sistema cambiaba configuraciones y borraba archivos sin un motivo aparente. Según Dragos, solo había insertado una memoria USB y ni siquiera había montado el volumen en el sistema, algo necesario para poder acceder al sistema de archivos.

Para Dragos, esto supone que el malware tiene capacidad para infectar el controlador de la memoria USB. Es decir, reprogramando (flasheando) el controlador para llegar hasta la BIOS del sistema a infectar. Esto supondría un mecanismo a muy bajo nivel. Según Dragos existen unos diez fabricantes de controladores para dispositivos de memoria USB y todos serían reprogramables. También comentó que es imposible llegar a una página web sobre software de reprogramación de este tipo de dispositivos desde una máquina infectada, al estilo del malware que impide el acceso a servidores de compañías antivirus.

Otra curiosa prueba que efectuó es el comportamiento de las memorias USB libres de infección cuando son insertadas y extraídas rápidamente en sistemas infectados. Al, supuestamente, interrumpir la operación de reprogramación estas se bloquean pero si son de nuevo insertadas en un sistema infectado y la reprogramación concluye con éxito vuelven a funcionar.

En sistemas Windows 8 infectados por badBIOS, Dragos detectó un síntoma adicional: ciertas fuentes tienen un tamaño superior en sistemas infectados y son protegidas por el usuario "Trusted Installer" que impide su manipulación incluso por el usuario administrador. Además cuando grabó estos archivos sobre un CD posteriormente comprobó, desde un sistema limpio, que habían "desaparecido”.

Otro factor más para añadir a la lista es la capacidad que tiene el malware para comunicarse con otros equipos infectados. Lejos de hacerlo sobre medios convencionales cuanto estos no están disponibles, Dragos encontró que el malware tiene la capacidad de establecer un canal de comunicación utilizando el micrófono y altavoces como medio de entrada y salida y usando ultrasonidos como transporte de la información. Cuando el malware trata de comunicarse con el exterior (Internet) lo hace a través de IPv6, de manera cifrada e incluso cuando el equipo tiene deshabilitada este protocolo.

La duda está servida. Dragos es un investigador reputado, que cuenta con el respaldo de gente con nombre. Por otro lado está la carencia de un ejemplar aislado para su estudio y el hecho que de momento nadie más parece sufrir los efectos de este singular tipo de infección, ni siquiera se dispone de evidencia alguna que apoye las declaraciones de Dragos, no hay copia del firmware infectado, ni capturas de red, ni archivos de sonidos que demuestren la capacidad de comunicación a través del sistema de sonido.

¿Es posible la existencia de un malware de este tipo?

Desde luego existe la posibilidad de infección de un microcontrolador, como también es posible que un malware tenga su propia implementación de la pila de protocolos, o la comunicación por ultrasonidos. Estos elementos por separado no nos son extraños, como tampoco es disparatada la creación de un malware sofisticado con el dinero y la motivación suficientes, tenemos ejemplo de ello con stuxnet y otros.

Sin embargo cuando tratamos de componer el puzzle que nos presenta Dragos Ruiu vemos claramente que faltan piezas: comenzando por la falta de muestra o la motivación de anunciarlo sin un motivo aparente tras tres años de estudio. ¿Por qué no esperar a sacar conclusiones más sólidas?

Más información:

Hacking the extensible firmware interface

https://www.blackhat.com/presentations/bh-usa-07/Heasman/Presentation/bh-usa-07-heasman.pdf

The evolution of Rovnix: Private TCP/IP stacks

http://blogs.technet.com/b/mmpc/archive/2013/07/25/the-evolution-of-ronvix-private-tcp-ip-stacks.aspx

Ultrasonic Local Area Communication

http://alumni.media.mit.edu/~wiz/ultracom.html

The badBIOS Analysis Is Wrong.

http://www.rootwyrm.com/2013/11/the-badbios-analysis-is-wrong/

#badBIOS features explained

http://blog.erratasec.com/2013/10/badbios-features-explained.html

Dragos Ruiu

https://plus.google.com/app/basic/stream/z13tzhpzvpqyuzv1n23cz52wykrrvjjce

FlashBoot

http://flashboot.ru/

David García

dgarcia@hispasec.com

Twitter: @dgn1729